本研究在觀測網域中架設一主動式誘捕系統,設定帳號及密碼為常見帳號密 碼前十名任選一組,以便讓攻擊者輕易入侵。系統被入侵成功後,就將系統相關 日誌檔彙整分析,並且對惡意程式進行測試,以找出該惡意程式的目的以及後續 追蹤行為的相關處置。本研究架設的主動式誘捕系統在 2011 年 4 月 30 號上 午 8:48:33 受到一個 122.70 開頭的 IP 來源進行 SSH 字典檔攻擊,並且被嘗 試登入成功,而在 8:49:08 有另一個開頭為 94.176 開頭的 IP 來源直接登入系 統,並在系統內輸入指令及植入惡意程式,相關的連線記錄如圖 4-1 所示:
圖 4-1. 主動誘捕系統上 SSH 日誌檔片段
21
主動式誘捕系統( host3 )在 8:48:33 被 122.70 開頭的攻擊來源(以下稱為 Bot1 )嘗試登入成功,但 Bot1 在登入成功後仍然對主動式誘捕系統進行系統登 入嘗試,並沒有停下攻擊。反而在 8:49:08 有另一個 94.176 開頭的 IP 來源(以 下稱為 Bot2 )登入系統,在之前日誌檔中並沒有與 Bot2 相關的登入成功或是嘗 試登入的紀錄,而是在 Bot1 登入成功後才出現。
圖 4-2. 主動誘捕系統上之 Bash History 片段
Bash History 是系統內的指令歷史檔,在系統內的帳號下過的指令都會被記錄下 來。在圖 4-1 中, Bot1 登入成功後,並沒有出現執行指令的紀錄,反而 Bot2 在 8:49:08 登入成功後,同時在指令歷史檔中( 圖 4-2 ),在 8:49:10 開始出現 一連串輸入指令的行為,因此本研究認為使用 SSH 字典檔攻擊做為入侵手段的 殭屍網路,會先選定攻擊殭屍負責 SSH 字典檔攻擊,以找出符合可以入侵的系 統以及帳號密碼組合,再將這些資訊彙整交由殭屍網路管理者或是另一個攻擊殭 屍執行植入惡意程式的行為,如同此次攻擊行為的 Bash History 中的 wget 指 令,就是要求系統將惡意程式下載回來,再將惡意程式以 tar 指令解壓縮,並且 進入惡意程式資料夾中執行惡意程式,此次攻擊行為入侵模式流程如圖 4-3 :
22
圖 4-3. 殭屍網路之分工入侵模式
在此次攻擊行為中,殭屍網路擁有者同樣下達指令到命令伺服主機(1),再傳遞 給攻擊殭屍 Bot1 (2),Bot1 便開始對目標主機開始進行 SSH 字典檔攻擊(3),
當入侵成功時, Bot1 持續進行攻擊,但會有另一個攻擊殭屍 Bot2 進到系統中 執行相關的惡意行為(4),並且從與該殭屍網路相關的網頁伺服器主機下載相關 控制機制的惡意程式(5),讓受害主機能夠連線上命令伺服主機(6)。
在此次攻擊入侵模式中,明顯的攻擊發動者是 Bot1 ,但他們的角色卻只是 以 SSH 字典檔攻擊找出網路上可以入侵的主機,實際上植入殭屍網路內部控制 機制的不是這些攻擊發動者,而是另外一個完全不做測試性入侵行為的攻擊來源,
如同 Bot2 的行為。當 Bot1 以 SSH 字典檔攻擊找出可以入侵的主機後,在很 短的時間內 Bot2 便進入到系統,因此殭屍網路的攻擊入侵行為應存在分工的機 制,運用一部份的攻擊殭屍使用 SSH 字典檔攻擊對指定網域進行掃描( Scan ),
當有入侵成功的主機後就將資訊傳送給另一個部份的攻擊殭屍或是殭屍網路管 理者自己進行後續行為(如圖 4-3)。這樣的機制一來對於現存網路偵測機制都是 以發動攻擊者為主而言,被偵測到的都只是進行 SSH 字典檔攻擊的攻擊殭屍,
並沒有辦法完全追蹤到正在發動攻擊的殭屍網路內所有的攻擊殭屍,更增加整體 殭屍網路在進行攻擊時的隱匿性;二來對於殭屍網路本身而言,這樣的機制就不 需要把所有的惡意程式植入到每一個攻擊殭屍,只需要在特定的攻擊殭屍上放必 需的程式,避免當任一攻擊殭屍被捕獲時就將自身所有惡意程式都洩漏出去的風 險。
能夠有如此緊密的分工模式,就須仰賴良好的資訊傳遞方式,而在此次殭屍 網路入侵所植入的惡意程式,當進行完 SSH 字典檔攻擊後且有主機被嘗試登入 成功,便產生一個 vuln.txt 檔案,其格式如圖 4-4 ,裡面包含受害主機的列表 以及可以登入的帳號密碼組合,在 Owens 的研究裡也發現了相同的 SSH 字典
23
檔攻擊已攻陷主機列表的檔案,並且將此檔案以電子郵件( E-mail )的方式寄送給 指定的電子信箱(Owens, 2008)。
圖 4-4. vuln.txt 檔案格式
在圖 4-4 中,包含了 SSH 字典檔攻擊嘗試登入成功的帳號、密碼、以及被登 入成功的主機 IP 位址。例如 IP 位址為 192.168.0.100 的主機,被以帳號名稱 為 root 以及密碼為 1234 的帳號密碼組合登入成功,並被寫在 vuln.txt 的檔案 中。在 Owens 的研究裡(Owens, 2008)則解讀 C 語言的二進位檔( Binary )發現 了一段程式片段,陳列如下:
cat vuln.txt | /usr/sbin/sendmail [email protected]
此段程式將 vuln.txt 檔案內容以 cat 程式讀取出來,並將讀取出來的內容以 /usr/sbin/sendmail 的程式寄給使用者帳號為 user 的雅虎電子信箱( Yahoo! )。除 了將 vuln.txt 檔案寄出,本研究並發現此次入侵行為還使用電子郵件的方式,定 時將系統相關日誌以及檔案寄到指定的信箱,以這樣的方式,殭屍網路管理者更 可以掌握殭屍網路內的攻擊殭屍主機的情形,在此次入侵行為所植入的惡意程式 有一段程式片段如下:
mv dnsquery /etc/cron.daily/dnsquery
在上述指令中,利用 mv 指令將 dnsquery 的程式移動至 /etc/cron.daily/ 資料夾 中,此行為是將每日執行的例行性工作排程( cron.daily )加入 dnsquery 程式,讓 系統每日定時執行 dnsquery 程式一次。而 dnsquery 的程式片段如下:
圖 4-5. dnsquery 程式片段
在圖 4-5 的 dnsquery 程式片段先以 popauth 指令讀取網頁伺服器日誌檔 ( http.log )的內容,並寫入到 test 的檔案中,後續並在 test 檔案中寫入系統的已
24
開機時間( uptime )、 SSH 登入日誌檔( ssh.log ),最後再以 mail 的指令將檔案 內容寄出到帳號名稱為 user 的 Google 信箱,信件的主題為 Logs 。透過以上 的方式,入侵者可以在每日持續監看這台被入侵的主機被使用情況,以確保使用 這台已入侵成功主機時的安全。
獲取上述資訊後,本研究希望能進一步將主動式誘捕系統連線到惡意程式所 設定的溝通機制中,並記錄下所有相關的資訊,因此本研究將捕獲到的殭屍網路 控制程式進行修改,可以完整地記錄下在該程式與控制與命令伺服主機間傳送及 接收的資訊,在此我們所擷取到殭屍網路是利用 IRC 的通訊協定做為其控制與 命令伺服主機,下圖為修改後程式產生之紀錄檔片段,內容是在本研究架設之觀 測網路環境內進行測試情形:
圖 4-6. 修改後程式產生之紀錄檔片段
連線上 IRC 伺服器時,每個使用者可以設定自己的暱稱代號,並且可選擇加入 任何頻道。當殭屍網路控制程式連上 IRC 時,暱稱代號會設定成 md 開頭,後 面加上隨機的三位數字,以圖 4-6 之記錄檔為例,殭屍網路控制程式已成功連 線上 IRC 伺服器,並加入了名稱為 bil 的頻道待命。殭屍網路控制程式會將連 線上 IRC 伺服器的暱稱代號設定為 md95 開頭的暱稱,且殭屍網路控制程式程 式連線上 IRC 伺服器後。當殭屍網路管理者要對攻擊殭屍下指令時,需要使用 惡意程式中定義的暱稱代號或網域名稱,才能夠讓植入惡意程式的主機執行指令,
在此段記錄檔中,殭屍網路控制程式只在 IRC 伺服器中聽從設定為 l3i 開頭的 暱稱代號下達指令,且其來源網域必須是來自於 nuk 的網域,在該段記錄檔中,
l3i 分別在 23:15:20 以及 23:15:52 對植入殭屍網路控制程式程式之主機下達 pwd 以及 whoami 的指令,這兩個程式分別詢問目前執行殭屍網路控制程式的 帳號身分所在資料夾以及執行殭屍網路控制程式的帳號身分,該系統也皆給予正 確的回應,告知目前帳號身分所在目錄以及目前程式的使用者帳號名稱。
本研究在 2011 年 5 月 6 號 00:11 在主動式誘捕系統上執行修改過後的 殭屍網路控制程式,連上程式內指定的 IRC 伺服器及頻道,在剛開始的兩個禮 拜內都沒有接收到任何指令或是任何在頻道上傳遞的訊息,直到 5 月 19 號 1:05 才開始接收到指令,並且植入另一個名為 shv5.tgz 惡意程式,該惡意程式 包含了殭屍網路的控制機制程式,並且與前一次入侵植入之程式不相同的部分在
25
於該程式連上了另一台不同的 IRC 伺服器,且該隻程式還包含了可以置換掉系 統內提供給系統使用者者查看系統相關資訊的應用程式,例如用來查看系統上行 程( Process )、網路埠( Port )、網路卡介面( Network Interface )等相關資訊的程式,
隱藏系統已被入侵的徵兆,藉以矇騙系統管理者者。
過去文獻對於植入惡意程式部分並無此種二次植入其他殭屍網路控制程式 的相關行為,大多描述入侵行為以及入侵後植入的惡意程式,本研究在此次觀測 中發現殭屍網路在經歷一段潛伏期後,才又植入另一個殭屍網路控制程式,此種 行為本研究從以下三個方向進行探討:
z 殭屍網路的防護機制:由於殭屍網路的嚴重危害,讓許多研究人員設置誘捕 系統進行監測,試圖掌握殭屍網路的資訊以及活動趨勢,因此殭屍網路的擁 有者也發展相對應的機制,減低被監測的程度。在此次入侵行為中,系統被 入侵後連上中介 IRC 伺服器便進入長期的潛伏,對殭屍網路管理者而言,
一方面可以觀察哪些受害主機常常連上 IRC 伺服器待命,代表這些主機的 管理強度較低,用這些主機進行活動而被發現的機會較低,另一方面可以矇 騙部分的誘捕系統,讓這些系統管理者或研究人員誤判該殭屍網路並無進行 惡意行為的意圖而放棄監測。
z 殭屍網路主控權的轉移:根據趨勢科技( Trend Micro Incorporated. )發佈的技 術文章指出,殭屍網路內的攻擊殭屍也可供為殭屍網路管理者出租之用途,
z 殭屍網路主控權的轉移:根據趨勢科技( Trend Micro Incorporated. )發佈的技 術文章指出,殭屍網路內的攻擊殭屍也可供為殭屍網路管理者出租之用途,