僵尸 *** 的4个发展阶段 如何防御僵尸 *** (一)
因为,如今每一个僵尸 *** 都似乎在用更高级的技术并且使用高质量的软件流程,挑衅着当前入侵检测系统(IPS)的防御策略。 因此,我们在这篇文章中先重点介绍一下僵尸 *** 和隐蔽软件的技术状况及其产业发展情况。 一个僵尸 *** 是一个被恶意软件控制的分布式计算机或者系统的 *** 。因此,这些计算机也经常被称作僵尸电脑。僵尸电脑由一个僵尸牧人(bot-herder)通过一台或者多台指挥与控制服务器控制或者指挥。最常见的情况是僵尸牧人使用指挥与控制服务器控制僵尸电脑,通过IRC(互联网中继聊天)或者P2P等 *** 通讯实施控制。僵尸电脑软件一般是通过恶意软件、蠕虫、木马程序或者其它后门渠道安装的。 各个机构报告的僵尸电脑规模与增长的统计数据有很大差别。据安全公司赛门铁克的“Threat Horizon Report”(威胁视野报告)称,每天能够检测到5.5万个新的僵尸 *** 节点。而《今日美国》报纸2008年的一篇报告称,平均每天连接到互联网的8亿台电脑中有40%的电脑是用来发送垃圾邮件、病毒和窃取敏感个人数据的僵尸电脑。《今日美国》还报道称,2008年的僵尸 *** 威胁比2007年增加了10倍。许多消息来源预测称,最著名的僵尸 *** Storm、Kraken和Conficker已经感染了大量的计算机。这些数字包括Storm(风暴)感染了8.5万台计算机,Kraken感染了49.5万台计算机,Conficker感染了900万台计算机。 地下经济与僵尸 *** 的发展 同任何由金钱驱动的市场一样,僵尸 *** 开发者就像经营一个合法的生意那样工作:他们利用合作、贸易和开发流程以及质量等好处。最近,僵尸 *** 已经开始使用生命周期管理工具、同行审查、面向对象和模块化等通用的软件质量做法。僵尸 *** 开发者正在销售其软件和感染载体,提供说明书和技术支持,并且收集用户的反馈意见和要求。 在僵尸 *** 团体中,一致的经济目标是推动技术创新、合作和风险教育。在线易货贸易和市场网站已经开始为这种地下经济团体服务,向僵尸牧人提供更好的易货贸易和交易方式、在线技术支持以及租借和租赁等服务。这种合作已经催生了一个非常成熟的经济。这里可以销售和购买僵尸 *** 节点或者僵尸 *** 群。僵尸牧人在对一个实体展开攻击的时候会在这里寻求合作。僵尸 *** 可以被租借用于发送垃圾邮件。窃取的身份证和账户可以在这个地下市场的参与者之间交换和出售。 僵尸 *** 的生命周期 僵尸 *** 的生命周期一般包括四个阶段:传播、感染、指挥与控制和攻击,见图1。图1 僵尸 *** 的生命周期(来源:英特尔公司,2009年) 传播阶段。在许多僵尸 *** 的传播阶段,僵尸电脑程序到处传播和感染系统。僵尸电脑能够通过各种手段传播,如垃圾邮件、 *** 蠕虫、以及在用户不知情的情况下通过 *** 下载恶意软件。由于传播阶段的目标主要是感染系统,僵尸牧人或者采取引诱用户安装恶意软件负载,或者通过应用程序或浏览器利用用户的系统中的安全漏洞传播恶意软件负载。 感染阶段。一旦安装到系统,这个恶意软件负载就使用各种技术感染机器和隐藏自己。僵尸电脑感染能力的进步包括隐藏感染的技术和通过攻击杀毒工具和安全服务延长感染寿命的技术等。杀毒工具和安全服务一般能够发现和清除这种感染。僵尸 *** 使用当前病毒使用的许多标准的恶意软件技术。多形性和“rootkitting”是两种最常用的技术。 ·通过多形性,恶意软件每一次进行新的感染时都会改变代码,从而使杀毒软件产品很难检测到它。而且,僵尸 *** 的开发者目前还使用软件开发人员用来防止软件盗版和反向工程的增强代码的技术。这些技术包括代码迷惑、加密和进一步隐藏恶意代码真实性质的编码以及让杀毒软件厂商更难分析的编码。许多迹象表明,恶意软件和僵尸 *** 开发者正在开始研究高级的“rootkitting”技术,以便更深地隐藏恶意软件。 ·通过利用“rootkitting”技术,也就是隐蔽地安装恶意软件的技术,每一次系统启动的时候这个名为“rootkit”的恶意软件都会启动。rootkit是很难发现的,因为这种恶意软件在电脑的操作系完全启动之前就启动了。rootkit技术的进步包括超劫持和基于虚拟化的rootkit以及发现和利用新目标以便注入固件和BIOS等代码。 虚拟机监视器(VMM)或者在一个操作系统下面运行的管理程序是僵尸 *** 和恶意软开发者控制计算机系统的一个非常有用的手段。超劫持包括安装一个能够完全控制这个系统的恶意管理程序。普通的安全措施很难对付这种管理程序,因为操作系统不知道这个机器已经被攻破了,杀毒软件和本地防火墙也不能发现它们。 僵尸 *** 开发者目前使用的另一个技术是主动攻击杀毒软件、本地防火墙以及入侵防御与检测软件(IPS/ IDS)和服务。僵尸 *** 攻击杀毒软件和防火墙软件使用的技术包括杀死安全软件流程或者阻止其更新能力等手段。下面是我们了解的僵尸 *** 安全软件更新的两个例子: ·一个僵尸 *** 改变了被感染的系统的本地DNS设置以阻止杀毒软件访问其更新网站。 ·僵尸 *** 主动检查安全软件连接其更新网站的企图并且封锁这个连接。 这些封锁安全软件更新的技术阻止安全软件获得其厂商提供的更新的恶意软件特征,或者阻止安全软件向中心厂商服务器报告异常情况和获得更新,从而阻止安全软件发布对抗僵尸 *** 的新版本程序。 僵尸 *** 开发者使用的另一种感染技术是把感染的时间定在安全软件实施恶意软件检测服务扫描的间隔时间里。僵尸电脑程序缓慢地感染一个系统不会引起入侵检测软件服务发出报警。 其它高级的僵尸电脑程序能够欺骗IDS/IPS系统和杀毒软件执行的本地和远程扫描。在这种情况下,这个僵尸 *** 的恶意软件会向进行扫描的杀毒软件展示虚假的内存镜像或者虚假的硬件镜像,或者这个软件通过丢弃数据包中断安全漏洞扫描,欺骗 *** 的响应或者重新定向来自安全漏洞扫描器的通讯。 指挥与控制。僵尸 *** 指挥与控制服务器使用若干协议中的一个协议进行通讯,目前最常用的一个协议是IRC。然而,最近开始出现一种使用增强的或者保护的协议的趋势。例如,Storm(风暴)僵尸 *** 使用加密的P2P协议(eDonkey/Overnet)。指挥与控制技术的进步对于僵尸牧人防止其僵尸 *** 被发现和关闭是非常重要的。要达到这个目的,僵尸 *** 已经开始利用在 *** 上常用的HTTP和P2P等协议,从而使僵尸 *** 更难发现。HTTP协议对于僵尸 *** 是特别有利的,因为目前来自系统的HTTP通讯量非常大并且具有多种类型的通讯。此外,僵尸 *** 软件还能够利用本地浏览器软件的许多功能和通讯栈,利用HTTP协议穿过防火墙的能力。其它即将出现的技术还包括使用VoiP、Web服务和HTTP通讯栈中的脚本等技术。另一个高级的技术是使用直接发送的方式,就是利用用户能够匿名发布信息的互联网论坛或者新闻组等网站传播僵尸 *** 软件。僵尸 *** 节点能够在这种网站上发布信息。僵尸牧人能够匿名地查看自己的节点发送的信息并且发布指令。然后,这个僵尸 *** 节点能够查询这个网站了解新的指令和进行其它基于消息的指挥与控制通讯。 现代僵尸 *** 发展的一个关键功能是在感染一个系统之后能够重新编程或者更新这个僵尸 *** 节点。这个指挥与控制指令可以让这个节点直接下载更新软件或者去一个被感染的具体网址下载这个更新软件。具有可重新编程能力的僵尸 *** 在这种地下经济中有很高的价值,因为这些僵尸 *** 能够随着发展而扩大以执行新的和高级的攻击和隐蔽的任务。 如上所述,隐蔽是僵尸 *** 技术的一个关键的功能。Kracken和Conficker僵尸 *** 都攻击和关闭安装在系统中的杀毒软件。其它僵尸 *** 故意通过客户化制定感染的时机和通讯的频繁程度以避开门限检测软件,防止本地的和 *** 的安全产品发现其踪迹。算法技术是下一种方式。僵尸 *** 开发者计划利用这种技术避开检测。这种技术包括使用隐蔽的通讯频道和基于速记式加密的信息,如模仿和嵌入内容(也就是嵌入在图像、流媒体、VoiP等内容中的消息)。 攻击阶段。僵尸 *** 生命周期的最后阶段是攻击阶段。在许多情况下,这种攻击只是简单地发送携带感染病毒的垃圾邮件。当攻击成功的时候,这个僵尸 *** 本身的规模将扩大。僵尸 *** 还经常用于发送垃圾邮件,作为实物交易和租借交易的一部分。这样,钓鱼攻击者、黑客、垃圾邮件制造者和病毒作者就能够利用僵尸 *** 销售信息和服务。僵尸 *** 还用来实施大规模拒绝服务攻击,攻击的目标包括 *** 和企业系统,甚至还攻击其它僵尸 *** 。一些新的僵尸 *** 能够升级到使用各种黑客工具和故障注入器等技术进一步攻击它们已经渗透进去的 *** 。例如,Asprox僵尸 *** 包含一种SQL注入攻击工具,另一种僵尸 *** 包括一个蛮力SSH攻击引擎。除了实施远程攻击之外,僵尸 *** 还能够实施持续的本地攻击,窃取被感染的系统及其用户的身份证和账户。
*** 僵尸的用法
什么是僵尸 *** ? 僵尸 *** 是指采用一种或多种传播手段,将大量主机感染bot程序(僵尸程序),从而在控制者和被感染主机之间所形成的一个可一对多控制的 *** 。在Botnet的概念中有这样几个关键词。“bot程序”是robot的缩写,是指实现恶意控制功能的程序代码;“僵尸计算机”就是被植入bot的计算机;“控制服务器(Control Server)”是指控制和通信的中心服务器。 僵尸 *** 首先是一个可控制的 *** ,这个 *** 并不是指物理意义上具有拓扑结构的 *** ,它具有一定的分布性,随着bot程序的不断传播而不断有新位置的僵尸计算机添加到这个 *** 中来。其次,这个 *** 是采用了一定的恶意传播手段形成的,例如主动漏洞攻击,邮件病毒等各种病毒与蠕虫的传播手段,都可以用来进行Botnet的传播,从这个意义上讲,恶意程序bot也是一种病毒或蠕虫。最后一点,也是僵尸 *** 的最主要的特点,就是可以一对多地执行相同的恶意行为,比如可以同时对某目标网站进行分布式拒绝服务(DDos)攻击,同时发送大量的垃圾邮件等,而正是这种一对多的控制关系,使得攻击者能够以极低的代价高效地控制大量的资源为其服务,这也是Botnet攻击模式近年来受到黑客青睐的根本原因。在执行恶意行为的时候,Botnet充当了一个攻击平台的角色,这也就使得Botnet不同于简单的病毒和蠕虫,也与通常意义的木马有所不同。 黑客如何利用补丁邮件? 目前,有黑客利用伪造的微软补丁邮件构建僵尸 *** ,因此请广大的网民确认收到的有关于微软补丁的邮件,并弄清楚您到底下载了什么到自己的计算机中。互联网风暴中心(Internet Storm Center)指出,黑客正在基于微软的安全更新伪造恶意电子邮件,这种伪造的邮件不能给用户提供任何有用的安全补丁,而实际上在邮件提供的链接或者附件中包含了恶意代码,那些没有警惕性的用户在点击了这些链接后即下载了恶意程序到自己的主机中。 实际上,对微软的安全补丁稍微留意的用户就会知道,微软是从来不会通过电子邮件的形式来通告用户安装安全更新补丁的,微软都是以安全公告的形式在其安全中心主页上( )发布安全信息的。通过这种伪造的邮件中,以安全补丁下载到的应用程序,实际上是一个后门木马,即在上面提到的bot程序。受这种木马影响的机器,将会被黑客远程的控制,受影响的机器至此就加入了僵尸 *** 。伪造邮件的黑客非常聪明,他们在受害者的姓名或者公司的名字里加入超级链接,链接到木马程序。到目前为止,安全研究人员已经发现了4种均是指向木马程序的不同的URL地址。在黑客伪造的邮件中,其中有封信的原文如下: “由于您使用了微软的软件而收到这封邮件,我们是通过你提交给‘微软Windows更新’的邮件列表中获得您的电子邮件地址的。一个0day漏洞(未公布的漏洞)已经在 *** 上流传开来,该漏洞将影响那些使用MICROSOFT OUTLOOK的用户。成功利用该漏洞后,黑客能够完全控制您的机器。(此处是一个补丁的链接地址)”
僵尸 *** 的工作过程
Botnet的工作过程包括传播、加入和控制三个阶段。
一个Botnet首先需要的是具有一定规模的被控计算机,而这个规模是逐渐地随着采用某种或某几种传播手段的bot程序的扩散而形成的,在这个传播过程中有如下几种手段:
(1)主动攻击漏洞。其原理是通过攻击系统所存在的漏洞获得访问权,并在Shellcode 执行bot程序注入代码,将被攻击系统感染成为僵尸主机。属于此类的最基本的感染途径是攻击者手动地利用一系列黑客工具和脚本进行攻击,获得权限后下载bot程序执行。攻击者还会将僵尸程序和蠕虫技术进行结合,从而使bot程序能够进行自动传播,著名的bot样本AgoBot,就是实现了将bot程序的自动传播。
(2)邮件病毒。bot程序还会通过发送大量的邮件病毒传播自身,通常表现为在邮件附件中携带僵尸程序以及在邮件内容中包含下载执行bot程序的链接,并通过一系列社会工程学的技巧诱使接收者执行附件或点击链接,或是通过利用邮件客户端的漏洞自动执行,从而使得接收者主机被感染成为僵尸主机。
(3)即时通信软件。利用即时通信软件向好友列表中的好友发送执行僵尸程序的链接,并通过社会工程学技巧诱骗其点击,从而进行感染,如2005年年初爆发的MSN性感鸡(Worm.MSNLoveme)采用的就是这种方式。
(4)恶意网站脚本。攻击者在提供Web服务的网站中在HTML页面上绑定恶意的脚本,当访问者访问这些网站时就会执行恶意脚本,使得bot程序下载到主机上,并被自动执行。
(5)特洛伊木马。伪装成有用的软件,在网站、FTP服务器、P2P *** 中提供,诱骗用户下载并执行。
通过以上几种传播手段可以看出,在Botnet的形成中传播方式与蠕虫和病毒以及功能复杂的间谍软件很相近。
在加入阶段,每一个被感染主机都会随着隐藏在自身上的bot程序的发作而加入到Botnet中去,加入的方式根据控制方式和通信协议的不同而有所不同。在基于IRC协议的Botnet中,感染bot程序的主机会登录到指定的服务器和频道中去,在登录成功后,在频道中等待控制者发来的恶意指令。图2为在实际的Botnet中看到的不断有新的bot加入到Botnet中的行为。
在控制阶段,攻击者通过中心服务器发送预先定义好的控制指令,让被感染主机执行恶意行为,如发起DDos攻击、窃取主机敏感信息、更新升级恶意程序等。图3为观测到的在控制阶段向内网传播恶意程序的Botnet行为。
看门狗2僵尸 *** 资源是什么 具体作用介绍
看门狗2僵尸 *** 资源:僵尸 *** 中了木马病毒的肉鸡电脑,可被黑客操纵用来攻击。僵尸 *** 资源就是电池量,消耗了以后可以通过黑路人来回复或者等,每10秒回1点,就是用技能需要消耗的点数 就要靠从npc那里获取,在技能栏里升级能提高携带的上限。
载具行驶路线骇入。技能效果:骇入载具并使其依指定路线移动。消耗:消耗2个僵尸 *** 资源。
扩展资料
看门狗2在游戏中给出的地图按照地形和区域来划分为马蹄湾、恶魔岛、芳草岛、奥克兰市 *** 、布鲁姆运动场、格威尔靶场、电影制片场、市政中心、克莱斯蒙森林和斯坦福大学,共九个区域地图。
玩家主要是看绿色骷髅头图标(即兴趣区域),到这儿能够更直观地在玩家的奴歌地图上标记出所有收集品、隐藏支线。
旧金山湾区有四个值得探索的地方。在游戏中通过一定操作前往各地开启“ *** 入侵”来找出奖励以及行动情报。兴趣区域一定会有某些东西等玩家去探索,管制区域通常会有大量现金的钱袋。一旦探索到,收藏品就会被标记在奴歌地图上。
奖励与行动情报都藏在兴趣区域附近。在奴歌地图中可以找出兴趣区域的位置。玩家靠近这些位置开启 *** 入侵模式来观察四周有无信号。
僵尸 *** 是什么意思?怎样通过僵尸 *** 进行拒绝服务器攻击。
僵尸 *** (英文名称叫BotNet),是互联网上受到黑客集中控制的一群计算机,往往被黑客用来发起大规模的 *** 攻击,如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等,同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。因此,不论是对 *** 安全运行还是用户数据安全的保护来说,僵尸 *** 都是极具威胁的隐患。僵尸 *** 的威胁也因此成为目前一个国际上十分关注的问题。然而,发现一个僵尸 *** 是非常困难的,因为黑客通常远程、隐蔽地控制分散在 *** 上的“僵尸主机”,这些主机的用户往往并不知情。因此,僵尸 *** 是目前互联网上黑客最青睐的作案工具。
CNCERT/CC相关负责人介绍说,这次处理的僵尸 *** 事件最初源于2004年底一起严重的拒绝服务攻击事件,通过分析和监测,CNCERT/CC发现攻击流量来自庞大的被植入某特定恶意程序的计算机群,该机群的数目达到近10万台,来自河北的某黑客通过境内外多台服务器秘密操纵这些计算机。 *** 纵控制的计算机中,有6万多台位于我国境内,其中还包括一些 *** 和其他重要部门的计算机。于是CNCERT/CC迅速通过信息产业部向国家信息化办公室和公安部作了汇报。
*** 部门对此事件十分重视,在国家信息化办公室的协调指挥下,CNCERT/CC配合公安部公共信息 *** 安全监察局迅速开展调查取证工作,摸清了该僵尸 *** 的具体情况,锁定作案嫌疑人,并最终在河北唐山将黑客许某抓获。
同时,为了避免 *** 控主机被其他人非法利用或者窃取数据,CNCERT/CC在CERT网站()上发布了专门的清除工具,并与各互联网单位和重要信息系统部门合作开展本部门主机的木马查杀工作,有效地捣毁了黑客留下的僵尸 *** 。
在这次事件处理过程中, *** 应急组织和执法部门的成功合作体现出巨大的威力,充分发挥出各自在技术和执法能力上的优势,随着双方合作的进一步加强,我国的 *** 安全保障和打击 *** 犯罪工作的能力势必将得到进一步提高。
僵尸 *** 的应对
先去打开腾讯智慧安全页面
然后去申请御点终端安全系统
再去使用腾讯御点,里面的病毒查杀功能杀毒即可
0条大神的评论