作者：趨勢科技資深安全顧問 RikFerguson

不了解僵尸網(wǎng)絡(luò)，你就不會明白我們正身處現(xiàn)代網(wǎng)絡(luò)戰(zhàn)爭的戰(zhàn)場中央，這里沒有炮火和硝煙，但卻時時上演Call of Duty5中的僵尸攻擊波…當(dāng)然，最糟糕的莫過于，當(dāng)我們開始關(guān)注自己的電腦如何變成喪心病狂、毀人草坪的僵尸時，我們的城市和家園已經(jīng)上演《生化危機》第四集。好了，準備亡命天涯之前，跟趨勢科技的大帥哥Rik Ferguson一起溫習(xí)一下前三集的功課吧。

趨勢科技資深安全顧問 RikFerguson

（本文是一系列三篇文章的第一篇，此系列文章將討論僵尸網(wǎng)絡(luò) Botnet的發(fā)展歷史與演變，請務(wù)必持續(xù)鎖定我們最新的內(nèi)容。）

就在 Melissa 病毒橫掃全球之后，網(wǎng)絡(luò)安全人員已疲憊不堪之際，ILOVEYOU 病毒已蠢蠢欲動，然而，一波更隱密的新形態(tài)敵人正暗度陳倉、悄悄越過防線…

起初，一開始有兩個競爭對手在爭奪 Bot 網(wǎng)絡(luò)先鋒的寶座：Sub7與 PrettyPark，前者是木馬程序，后者是蠕蟲程序。兩者都導(dǎo)入了IRC 通訊管道來讓受害計算機接收惡意指令的概念。這兩個惡意軟件 (這樣說可能Sub7 的作者不太同意，因為這位「黑幫份子」比較喜歡用「遠程管理工具」這個名詞) 都是在 1999年首次出現(xiàn)，從此開始，Bot網(wǎng)絡(luò)的技術(shù)就不斷進步。

殭尸網(wǎng)絡(luò)/傀儡網(wǎng)絡(luò)Botnet發(fā)展史上有幾項重大事件。首先，全球化Bot 威脅 (GTbot)在 2000年出現(xiàn)。GTbot是以 mIRC客戶端為基礎(chǔ)發(fā)展出來，因此它可以根據(jù) IRC 事件來執(zhí)行客制化程序碼 (script)，此外，同樣重要的是，它會使用TCP 和 UDP封包，所以很適合執(zhí)行基礎(chǔ)的阻斷服務(wù)攻擊(Denial ofService)，有些攻擊甚至可以掃瞄已遭Sub7 感染的主機，然后將它們「更新」成 GTbot 計算機。

2002 年，隨著 SDBot和 Agobot的出現(xiàn)，Bot網(wǎng)絡(luò)的技術(shù)也有重大進展。SDBot是一個單獨的二進制文件，用 C++撰寫而成。它的制造者將此「產(chǎn)品」商業(yè)化，讓其原始碼廣為流傳，結(jié)果，許多后來的 Bot 程序都多少引用了 SDbot的程序代碼或概念。同年，Agobot 又有新的突破。Agobot導(dǎo)入了模塊化、分階段運送酬載的攻擊概念。攻擊的第一階段會先安裝后門程序，第二階會嘗試停用防病毒軟件，第三階段會防止用戶連上信息安全廠商網(wǎng)站。凡是近年來曾經(jīng)遭到惡意軟件攻擊的使用者，對于這些技巧應(yīng)該都還不算陌生。早期的Bot 程序主要是用來遠程遙控與信息竊取，但是在模塊化與原始碼開放之后，變種的數(shù)量就大幅增加，功能也大為擴充。慢慢地，惡意軟件作者也開始利用數(shù)據(jù)加密來勒索被害人，并且利用HTTP 和 SOCKS代理器 (proxy)來將受害計算機用于后續(xù)聯(lián)機用途或者當(dāng)成 FTP服務(wù)器來儲存非法數(shù)據(jù)。

2003 年出現(xiàn)的 Spybot是先前 SDbot的進化版，新增了鍵盤側(cè)錄、數(shù)據(jù)采礦、垃圾即時消息 (Instant Messaging Spam，簡稱SPIM) 等功能。同年竄起的還有 Rbot，此Bot 程序率先采用 SOCKS代理器，并且內(nèi)含 DDoS分布式阻斷服務(wù)攻擊和信息竊取工具。Rbot 也是第一個使用壓縮和加密算法來躲 避偵測的 Bot 程序家族。同樣在 2003年首次出現(xiàn)的還有點對點 (P2P)Bot 網(wǎng)絡(luò)，叫做 Sinit，后來，Agobot 模塊也納入這項 P2P功能。次年，從 Agobot衍生的 Polybot首度采用變形 (polymorphism) 技巧來躲避偵測，該程序會盡可能不斷改變自己的樣貌。

此時 Bot 程序已逐漸揚棄原先的IRC 通訊管道，因為防火墻很少會開啟這個端口，而且其通訊協(xié)議在網(wǎng)絡(luò)流量當(dāng)中很容易辨認。因此，Bot 程序開始透過 HTTP、ICMP 和 SSL端口來通訊，而且經(jīng)常使用自定義的協(xié)議。此外，它們也持續(xù)精進其 P2P 通訊技巧，這一點我們在五年后的 Conficker 惡意軟件上可以看到。

本文是一系列三篇僵尸網(wǎng)絡(luò)Botnet網(wǎng)絡(luò)發(fā)展歷史探討文章中的第一篇，第二篇請看僵尸網(wǎng)絡(luò)的歷史(中篇)

本文版權(quán)為趨勢科技所有，對于非贏利網(wǎng)站或媒體轉(zhuǎn)載請注明作者以及原文鏈接。謝謝合作！

愛趨勢--免費下載趨勢科技殺毒軟件http://www.iqushi.com

微博--關(guān)注趨勢科技期期有獎http://t.sina.com.cn/trendcloud

開心網(wǎng)--加入趨勢科技粉絲群拿禮品http://www.kaixin001.com/trendmicro

愛華網(wǎng)本文地址 » http://www.klfzs.com/a/25101016/310375.html