跨站式動態網頁 屍網路偵測殭與模擬之探討

樹人醫護管理專科學校資訊管理科

組員：謝昀芮 林柏伶楚凱琳 曾嘉霖 王榮宗 蔣帛勳

國立成功大學企業管理學系

溫丹瑋

指導老師：王士豪

大鋼

a. 簡介b. 研究步驟與成果c. 結論與未來展望d. 未來研究方向e. 致謝

研究背景

觀察並 掘出跨站式動態網頁挖 Bots 之特性作為日後偵測 Botnet 之準則

透過探討已知之 Bots 行為並模擬實作以期發現特性 提出一套偵測架構並以此架構發展系統雛型 於實際網路環境進行測試以驗證該系統雛形之有效性

研究目的

透過僵屍電腦犯罪數 連年成長值 屍惡意程式碼殭 的演進日新月異

簡介

Botnet

Bot 是 robot 的縮寫，又稱為 屍殭（ Zombie ）

隱藏於受感染主機上，會主動對外連接至指定的溝通管道，接收並執行駭客要求的命令。

駭客利用不同的管道，殖入 屍，以達到控制殭的目的，其會讓電腦在看起來運轉正常的情況下，其實已經成為 屍網路（殭 Botnet ）的一員。

屍網路之攻 過程殭 擊

屍網路偵測機制及相關系統雛型殭

Bot 所在網路之流量監控 藉由偵測區域網路內主機不合理的規律行為，可以偵測出

Bot 之存在。

Controller 流量以及訊息之分析 監控 IRC 訊息或 Web 連線成為 Botnet 防治的方法之一。

DNS Server 之分析 藉由分析可疑之 Web Server 案下載與檔 DNS Server 詢查

之資訊，可以發現 Botnet活動之徵兆。

受害者流量之分析 藉由 Trace Back 技術偵測攻擊來源，並限制其網路存取能力，以降低傷害。

3. 研究步驟與成果

本研究利用模擬測試系統建構之相關軟體，建置跨站式動態網頁 屍網路的模擬雛型系統，殭藉以觀察、收集與探究 屍網路之形成殭

因為 pbot 是 php 版本，所以需要 WEB SERVER + PHP的環境

跨站式動態網頁 屍網路的模擬雛型系統殭

詳細的建置程序步驟條列如下 : 修改pbot 的原始碼。 (一定要修改的部分包含 Server、

passwword、Port、 Channel 以及 Prefix) 將 pbot 放入可執行 PHP 的 WEB SERVER 使用任何一台主機的 browser 連到 pbot 去執行 在此用 192.168.14.250 與 192.168.14.252 兩台殖入pbot 的主機

到 IRCD 上確認 BOT 上線 使用 .user + 密碼 登入 BOT 測試 BOT來源主機的資訊，成功這樣又多一個 BOT

client 可用對 info 指令回應成功，知道來源主機資訊

模擬測試系統建構軟體清單軟體名稱 用途說明 參考資料

1. pDbot (php source

code) 2. BewareIrcd IRC Server http://ircd.bircd.org/

3. Talkative Irc IRC Client http://www.talkative-irc.com/TalkativeIRCSetup.exe

4. appserv Web Server http://

www.appservnetwork.com/

5. Wireshark 流量監聽 http://www.wireshark.org/

6. notepad ++ 文字修改軟體 http://notepad-

plus.sourceforge.net/tw/site.htm

7. Firefox 瀏覽器 http://moztw.org/

互動式動態網頁 屍網路殭之攻 模式與流程擊

修改 pbot 的原始碼與相關環境設定

將 pbot 放入可執行 PHP 的 WEB SERVER

使用任何一台主機的 browser連到 pbot 去執行

到 IRCD 上確認 BOT 上線

使用 .user + 密碼 登入 BOT ( 兩台都成功登入 )

測試 BOT 來源主機的資訊

測試 udpflood DOS 攻擊到 192.168.14.249

在 192.168.14.249 安裝 wireshark 取攻 封包擷 擊

wireshark 取攻 封包後資訊判擷 擊讀

使用動態網頁技術撰寫之 屍程式，有殭以下不易被偵測之特性 :

動態網頁 案未存在執行程序，無法藉由網站伺檔服器上之防毒軟體或其他工具偵測。

攻擊者使用一般的 web service 所用之通訊埠，(80 port)，控制 屍網路，不易被網路或伺服殭器管理員察覺。

動態網頁技術通常為純文字 案不易被察覺。檔 純文字 案型態之 屍惡意程式，易於修改原始檔 殭

程式碼。 攻擊者無論在隨時隨地皆能 可透過夠 script

executants (script 的執行者 )加以控制潛伏於網站伺服器上的惡意程式。

用於架設網站伺服器或網際網路伺服器之硬體設備作為屍節點，相較於只感染一般個人電腦主機，更存在以殭

下優勢： 伺服器硬體規格等級較一般個人電腦主機來得好，因此代表

其有較高之攻擊能力。 伺服器為維持其高可用性與良好之服務品質，多選擇頻 較寬高之 ISP機房做為建置地點。

伺服器之存活率較高，大多數伺服器一般均須維持在網際網路上正常運作，不像一般個人用電腦，操作者為使用時可能會被隨時被關機，或是進入休眠狀態無法連線與操作。

伺服器無特定對象經常於本機端操作使用，被殖入之 屍不殭易被察覺，且網站伺服器有為數 多之連線存取記錄眾 (log)，也將讓攻擊者連線到 屍之紀錄容易被忽視。殭

網站伺服器多採用主機代管或是虛擬主機方式建置，因此一部伺服器即可被殖入多個 屍，使得網際網路上之 屍節點殭 殭數倍增。

伺服器本身極為有高度流量之主機，一般利用異常流量偵測方式偵測惡意行為的方式可能不適合應用在伺服器上。

5. 結論與未來展望

具體之研究貢獻如下所列 :

1. 收集資料以及文獻探討2.了解互動式動態網頁 屍網路之架構殭3.了解互動式動態網頁 屍網路之感染模式殭4.了解互動式動態網頁 屍網路之攻擊模式殭5. 觀察且分析異常 HTTP連線模式6. 觀察以及分析異常 C&C 訊息

具體未來研究方向

1.建置異常 HTTP分析模式以及 Alert 發 系統佈

2.建置異常 C&C 訊息分析模式以及 Alert 發 系統佈

3.建置Alert Correlation 模式以及系統

4.建置完整網路伺服器之入侵偵測系統

誌謝

本研究感謝樹人醫護管理專科學校 99年度教師專題研究計畫 (計畫編號：SZI09905011，計畫名稱：基於網路流量與預警訊息之 屍網路偵測機制 殭 NetFlow and Alert based Botent Detection Mechanism)之經費支持。作者並感謝本計畫研究團隊成員對於本文初稿提供的豐富建議。