摘  要： 近幾年來，僵尸網絡給網絡帶來了巨大的安全威脅，僵尸網絡總是小心翼翼地隱藏自己來增加自己的生存概率及生存時間。在給出僵尸網絡的定義的基礎上，從Bot、Botmaster、C&C三個方面研究僵尸網絡是如何躲避檢測機制的。

　　關鍵詞： 僵尸網絡；入侵檢測

　　僵尸網絡是一種新興的互聯網威脅，其數量、規模和危害級別正在迅速增長，已經使全球網絡進入新的警戒狀態。僵尸網絡(BotNet)作為攻擊者的一個攻擊平臺，可以發起多種攻擊事件，無論對整個網絡還是個人用戶都會造成極大的威脅。僵尸網絡被黑客用來進行分布式拒絕服務攻擊(DDos)、擴散垃圾郵件、植入惡意軟件、竊取敏感信息、安裝廣告條等[1]。

　　學者們對僵尸網絡給出了各自不同的定義。國家工業和信息化部發布的《木馬和僵尸網絡監測與處置機制》和Xie Yinglian等人[2]定義僵尸網絡為：由攻擊者通過控制服務器控制的受害計算機群。然而，控制服務器不是僵尸網絡的必要組成部分，例如，P2P僵尸網絡中沒有控制服務器。Gu Guofei等人[3]定義為：僵尸網絡是可被攻擊者通過命令控制信道遠程控制的可協同的計算機群，該定義覆蓋了僵尸網絡兩個本質屬性(“可控性”和“協同性”)，因此該定義應該是比較準確的[4]。

　　本文對僵尸網絡的定義是：僵尸網絡(BotNet)是攻擊者出于惡意目的、傳播僵尸程序控制大量主機，并通過一對多的命令與控制信道所組成的網絡。從定義中可以看出，僵尸網絡由Bot、Botmaster、C&C三個重要部分組成，因此文中將從Bot、Botmaster、C&C三方面研究僵尸網絡是如何躲避檢測機制的。

　　1 在Bot主機上躲避檢測

　　對于Bot來說，長時間保持對Botmaster可用，必須采取一定的機制來躲避基于主機的檢測。

　　(1)二進制代碼混淆機制：僵尸網絡通過在感染了Bot-binary的主機上尋找漏洞進行擴散。Bot-binary用整合機制來協調與僵尸主控機接收命令。為了避免被基于主機安全應用策略檢測到，一些躲避檢測的技術被應用到隱藏Bot-binary中。多態性的使用使基于模式的檢測方法失效，多態性是指Bot-binary以幾種不同的形式存在的能力，可以通過加密實現這種效果，也可以通過打包的方式來實現。打包是指對文件進行壓縮，對惡意軟件來說，打包有助于混淆惡意代碼。

　　雖然代碼多態性成功地應用于躲避基于模式的檢測方法，但是它仍然可以被基于記憶的檢測方法所檢測到。在被執行時，二進制代碼都會被解密或者解壓縮成相同的代碼，這個問題被代碼的編寫者所注意，其允許代碼被改寫，但是語義等價的代碼可以對抗基于記憶的檢測方法。

　　(2)反分析：研究者都是通過在虛擬機或者沙箱里運行僵尸代碼來研究僵尸網絡的行為的，另一種研究僵尸網絡的方法是通過蜜罐技術，蜜罐被設計成獨立運行并且能阻止僵尸網絡的傳播。為了躲避這些分析，一些僵尸代碼在被執行前先檢查運行環境，如果檢測出處于虛擬機或者沙箱內，僵尸代碼將不會執行或者改變其原有的功能來躲避分析。但這種躲避檢測的技術使用率正在下降，主要有以下兩方面的原因：①正常的程序在運行前不會檢測運行環境；②虛擬機現在被廣大的普通用戶所喜愛，不再局限于安全分析。

　　(3)關閉安全軟件：在成功感染主機后，僵尸病毒會關閉受害機上已經存在的安全軟件，如果受害機同時還感染了其他的惡意軟件，那些惡意軟件將會被移除。例如，Conficker感染主機后，將會關閉一些系統安全服務并且修改注冊表，其擁有的一個域名黑名單及進程黑名單用以阻止主機訪問一些安全網站及一些安全程序的運行。

　　(4)Rootkit技術：是一個通過破壞被感染主機正常的系統行為來隱藏其他程序進程的軟件。Botmaster可以在存在安全漏洞的主機上安裝Rootkit使其獲得訪問權限，這樣當其進行惡意活動時可以繞過安全認證和授權。結果，傳統的殺毒軟件將不能檢測到該軟件。

　　2 在命令與控制信道服務方面躲避檢測

　　僵尸網絡不同于其他惡意軟件在于控制者可以通過命令與控制信道控制僵尸主機，這意味著命令與控制信道是僵尸網絡的核心，這同樣也可成為僵尸網絡的致命點。因為，僵尸網絡的控制者要花大量的心思來隱藏命令與控制信道。

　　(1)IP-Flux：Botmaster利用IP-Flux頻繁改變其C&C服務器的域名所對應的IP地址，這有助于避免IP被屏蔽掉，這種技術也被稱為Fast-Flux服務網絡（FFSN）。Fast-Flux技術[5]為一個域名配置多個IP地址，并且這些IP地址以非常快的頻率更換，從而實現域名到IP地址的動態映射。IP-Flux提供了便利的動態DNS服務（DDNS），如DNS一樣，DDNS提供動態域名與IP之間的轉換。與使用DNS僅處理靜態IP地址相比，DDNS可以使用動態IP地址操作。僵尸網絡利用DDNS來保持(C&C服務器)域名到IP地址映射的實時性，Fast-Flux分為single-flux和double-flux[5]。

　　(2)Domain-Flux：Domain-Flux使多個域名同一個IP地址相關聯，這樣可以避免基于URL的過濾和檢測。Domain-Flux既可以通過已有的DNS服務提供域通配符，也可以通過利用域名生成算法實現，域通配符允許在域名前加上隨機的字符串與同一個IP地址相關聯，例如，假設aust.com.cn與10.1.1.1相關聯，通過域通配符，*.aust.com.cn同樣與10.1.1.1相關聯，其中*可以是任意字符。另外，Bot可以通過算法來生成域名，這些算法周期性地產生一列域名，通常會包含非常多的域名，但這些域名在相同的時間內并非都是活動的，Bot通常依次嘗試連接這些域名，并把識別出來的域名作為C&C服務器，被識別為活動的域名將會被標記為域名服務器。隨機連接幾個域名如果都提示DNS Non-Existent Domain，那么電腦極有可能被僵尸網絡所感染。Botmaster知道在給定的時間內哪一個域名將會被Bot訪問，因為其熟知域名生成算法，會提前注冊Bot將要訪問的域名。

　　3 隱藏C&C通信

　　檢測C&C通信有許多意義：(1)檢測C&C通信能夠枚舉出僵尸主機然后對其殺毒；(2)能夠暴露C&C服務器的位置，通過關閉C&C服務器能夠削弱整個僵尸網絡，通過分析Botmaster與C&C之間的通信能夠找出罪魁禍首——Botmaster；(3)通過分析C&C通信可以幫助防御者理解BotNet是如何工作以及如何摧毀整個僵尸網絡的。由于這些原因，Botmaster通過許多機制來隱藏C&C通信。

　　(1)加密：Botmaster通過加密C&C通信來躲避檢測，通過加密技術，使BotNet躲過了基于內容分析的檢測機制，迫使研究者不得不從諸如包到達時間或包長度等方面去分析。從簡單的模糊混淆技術到復雜多變的加密技術，BotNet已經使C&C通信變得幾乎堅不可摧，Nugache號稱是最先進的僵尸網絡之一，其C＆C通信就采用了先進的加密技術。

　　(2)協議控制：有些僵尸網絡使用隧道協議來隱藏C＆C通信，通常防火墻允許HTTP流量，因此，Botmaster便用HTTP隧道來進行C＆C通信。另一個大的趨勢是利用IPv6隧道進行通信，因為現在大多數操作系統都默認支持IPv6協議，但許多中間設備不識別IPv6流量。

　　(3)流量控制：一個長期活躍的C&C通信可能會暴露僵尸網絡，而僵尸網絡會故意在相對較長的一段時間內制造小批量的C＆C的流量來躲避基于統計的檢測技術的檢測。

　　(4)新的通信技術：僵尸網絡使用不易被察覺的C＆C新型通信技術，如facebook和推特等這種社交網站，也已經被BotNet作為C＆C通信之用。一種竊取用戶信息的BotNet——Brazen就是利用推特來傳播惡意鏈接的。此外，僵尸網絡可以利用任何已經存在的技術來對C＆C通信進行隱藏，如圖像技術等。

　　4 隱藏Botmaster

　　Botmaster是僵尸網絡中最應受保護的，失去了Botmaster，整個僵尸網絡將會處于無控制狀態。此外，Botmaster有可能面臨在監獄服刑或巨額罰款的后果，因此，Botmasters利用復雜的機制來逃避檢測。

　　設立跳板主機：Botmaster一般為了隱藏自己的真實身份，通常會在C＆C服務器之間和它們自己之間設立一定數量的中間主機，稱作跳板主機。這些跳板主機能夠提供網絡重定向服務，例如HTTP代理或SOCKS代理和SSH服務等，跳板主機本身就是被Botmaster入侵的主機，Botmaster喜歡將跳板主機設立在對于網絡犯罪立法比較寬松的國家，這樣即使跳板主機被發現也會受到相對較輕的處罰。

　　本文在給出僵尸網絡定義的基礎上，從Bot、Botmaster、C&C這三個方面研究了僵尸網絡是如何躲避檢測機制的，使讀者對僵尸網絡以及僵尸網絡是如何躲避檢測有進一步的了解。防御者可以從僵尸網絡躲避檢測機制的反向入手研究如何檢測僵尸網絡。

　　參考文獻

　　[1] 諸葛建偉，韓心慧，周勇林，等.僵尸網絡研究[J].軟件學報，2008，19(3)：702-713.

　　[2] Xie Yinglian，Yu Fang，ACHAN K，et al.Spamming botnets：signatures and characteristics[C].Proceeding of ACM SIG-COMM 08，New York：ACM，2008：171-182.

　　[3] Gu Guofei，PERDISCT R，Zhang Junjie，et al.BotMiner：clustering analysis of network traffic for protocol-and struc-ture-independent botnet detection[C].Porceeding of the 17thUSENIX Security Symposium，Berkeley，CA：USENIX，2008：269-286.

　　[4] 方濱興，崔翔，王威.僵尸網絡綜述[J].計算機研究與發展，2011(8)：702-713.

　　[5] 康樂，李東，余翔湛.基于SVM的Fast－flux僵尸網絡檢測技術研究[J].智能計算機與應用，2011(6)：24-27.