僵尸网络浅析

    欢迎关注我的微信公众号：AI Engine

    很久没有写关于安全的文章了，虽然自己也是菜鸟，但是一直秉承谦虚谨慎的态度。所以希望如果有大神看到鄙人的文章觉得哪里有所不妥，本人一定虚心请教。

    今天我们来谈谈业界比较流行的话题——僵尸网络。僵尸网络它是个啥呢？答案：采用一种或多种传播手段，将大量主机感染bot程序(僵尸程序)，从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。说白了就是比如你是黑客，你通过僵尸程序控制了好多别人的电脑主机，你们之间的关系网络即为僵尸网络。僵尸程序可以是一种木马、病毒、蠕虫等等，黑客利用某些用户主机的系统漏洞、发送钓鱼邮件或者社工等手段抓取了一定数量的肉鸡后，就对肉鸡们植入僵尸程序，这样僵尸网络就慢慢组成了。组成的僵尸网络可以用来当做二级服务器进行病毒样本的散播，也可以用来进行一些DDoS攻击、CC攻击等一些需要大量服务器进行的大规模分布式攻击，影响很大。我们先看一下比较典型的僵尸网络生命周期（盗图）：

    当肉鸡上线后，控制端就可以得知肉鸡上线信息，并对肉鸡进行命令、远程控制。在早期的僵尸网络结构中，僵尸主机（肉鸡）通常采用轮询的方法访问硬编码的C&C域名或IP来访问命令控制服务器，从而获取攻击者命令。但是由于硬编码的域名或IP固定且数量有限，且检测人员通过逆向掌握该部分内容后可对该域名进行有效的屏蔽，阻断其命令控制途径，使其失去控制源并逐渐消亡。而现在与C&C（命令与控制）通信告之新的客户端上线时，僵尸网络已出现各种加密通信信道，以避免IDS、IPS、防火墙或其他方式的网络侦听，并通过DGA域名生成算法以及动态ip不断构建新的链接方式，使肉鸡与攻击者保持通信并且可以躲避检测。这些可以躲避检测的恶意行为我们可以暂时称之为未知威胁，已知威胁我们通常会采用签名和规则等对其进行检测，但是像这种无明确特征的攻击就属于未知威胁了，我们可以采取机器学习等方式对其检测，所以对攻击行为的数据特征要进行分析。我通过搭建目前比较流行的木马远控工具XRAT以及其变种，发现木马远控数据流量多种特征，下面简单列出几种：1.心跳报文较多，且数据包size较小，而且心跳数据包是贯穿攻击自始至终的。2.上行流量大于下行流量，大约比例在3:1。3.PSH标志位的数据表较多。4.数据包之间的时间间隔与正常远控工具有较大差别。我们通过wireshark看看流量呈现：

这是纯心跳报文，length很小，因为keep-alive所传输的内容较为简短：

我们看一下远控桌面时的报文，有较大数据传输时数据包大小是有变化的，而且报文的传输频率也是发生变化的：

附上部分报文内容，我们可以看到c^c字样，这会是一种巧合么，也许逆向后才能知道答案吧。

最后给大家一个思维导图的初稿，由于是今天才画的，所以还不够完善，会不断填充的。