殭屍網路與和網際網路多重攻擊

第三節 殭屍網路與和網際網路多重攻擊  

最近的網際網路攻擊模式使用了更複雜的殭屍網路(BotNet)技術，殭屍網路 是由一群遭受入侵且受到他人控制的電腦所組成，每一台遭受入侵攻擊而淪陷 的電腦皆被攻擊者植入相同的惡意控制程式[23]，這些遭到植入惡意控制程式 的電腦稱為殭屍電腦(Bot)，且殭屍電腦會透過相同的通訊協定進行溝通與訊息 傳遞，由這些電腦所形成自有的網路結構稱為殭屍網路。殭屍網路控制者透過 命令與控制伺服主機操縱所有殭屍電腦，而在殭屍網路中存在一或多個命令與 控制伺服主機，殭屍網路控制者透過命令與控制伺服主機將指令發佈給殭屍電 腦，而所有和命令與控制伺服主機維持連線的殭屍電腦收到指令後則會執行相 對應的動作。

目前常見的殭屍網路命令與控制主機(Command and Control Server, C&C Server)大多使用 IRC (Internet Relay Chat)協定，原先 IRC 協定是設計讓網際網 路使用者登入主機，進入聊天室傳遞訊息，也可以單一使用者與單一使用者之

間的私密訊息(Private Message)。殭屍網路的管理者便應用 IRC 協定對殭屍網路 內的單一主機下達命令，或者在聊天室中對許多主機廣播命令。而殭屍網路成 員也可以傳送訊息給予管理者，回報命令執行結果或者是該主機的近況。所以 攻擊者可以利用殭屍網路可以操作並協調多台主機，而此一功能也改變了攻擊 入侵的步驟。

  圖2 多重攻擊示意圖

攻擊者

受害主機

檔案伺服器 IRC 伺服器

C&C 主機

3 下載惡意程式 4 殭屍網路連線

1 發動攻擊 2 非法登入

5 跳板攻擊 BotNet

在2013 年從本研究所架設的誘捕系統中可發現有另外一型態的多重攻擊的 殭屍網路攻擊技術，其攻擊行為模式結合了殭屍網路，並且比多步驟攻擊更加 複雜的多重攻擊，其攻擊流程如圖 2 所示，過程如下：1. 攻擊者自一台網路主 機掃描網路上啟動 SSH 服務的主機，然後對啟動 SSH 服務的網路主機使用字 典檔進行 SSH 密碼暴力破解攻擊，試圖破解過於簡單的帳號，以此帳號登入系 統。2. 再從另外一台主機利用被破解的帳號密碼登入受害主機。3. 攻擊者登入 受害主機之後，便下載包含 IRC 客戶端程式和攻擊工具的惡意工具程式集。4.

攻擊者使用此惡意工具程式集，以受害主機作跳板攻擊其他主機，掃描附近開 啟 SSH 服務的主機，然後再對這些主機執行 SSH 暴力法攻擊。5. 在發動攻擊 程式後，自動執行 IRC Bot 程式，連線到另外一台 IRC 伺服器，並將剛剛掃描 的結果和入侵成功的帳號、密碼、主機資訊透過 IRC 回傳。之後便刪除所有下 載的檔案並登出系統。

在這些攻擊步驟中，攻擊者成功的發現一組可以登入系統的帳號密碼後，

並沒有再從同一來源 IP 作進一步的惡意入侵動作，只是確認可以登入系統後便 登出離開系統，改以其他電腦登入受害主機。攻擊者在利用受害電腦作為跳板 攻擊其他電腦後，便將這些行為產生的暫存檔案移除，登出系統。之後攻擊者 為避免被網管人員發現，再也不使用 SSH 服務登入主機，而使用殭屍網路的命 令方式控制受害主機。於是系統管理員直到事後檢查系統日誌才發現在主機遭 受 SSH 密碼暴力破解攻擊的一段時間後，有另外一台完全沒有關聯的主機利用 之前被破解的帳號與密碼登入 SSH 服務，而該登入記錄在眾多系統記錄之中十 分不明顯容易被忽略，攻擊者在登入後的動作也因為相關記錄被移除而難以追 蹤。

此類型的攻擊行為，其攻擊動作遠較於 DARPA 2000 所描述的情景複雜許 多，攻擊者再也不是利用單一的主機作攻擊，而是從多個主機進行多重攻擊。

這些攻擊行為就像是先派出刺侯探測目標弱點，然後再派出刺客攻擊目標。所 以本研究將作弱點掃描和密碼探測的主機稱之為掃瞄者，而最後連線登入主機 下載攻擊程式和後門程式的主機稱為侵入者。從圖 2 可看到掃瞄者、侵入者、

受害主機以及攻擊行動中其他角色的關係圖。因為掃瞄者在探測網路弱點時會

不停尋找開啟的主機以及服務，嘗試可能的帳號密碼組合，所以現有的網路防 算法使用。WINEPI 在搜尋頻繁情節的方法類似 Apriori 演算法[25]的作法，先 由產生所有包含 N 個事件的候選情節(Candidate)，然後掃描時間序列，計算各 個情節的發生頻率，接著刪除小於門檻值的情節，剩下的候選情節便成為長度 為N 的頻繁情節，之後再以長度為 N 頻繁情節為基礎產生長度為 N + 1 的候選 情節。持續使用同樣的方法不停迭代，直到找最長長度的顯著情節為止。在計 算候選情節頻率時，WINEPI 使用固定長度滑動視窗(Sliding Window)的方法作 計算。時間視窗沿著時間序列依時間先後順序經過每一筆資料向後滑動，如果