手机僵尸网络命令与控制机制的研究
开篇:润墨网以专业的文秘视角,为您筛选了一篇手机僵尸网络命令与控制机制的研究范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘要: 手机僵尸网络已成为通信网络安全的主要威胁之一。该文对手机僵尸网络的体系结构作了一定的阐述,重点分析了现有的几种命令与控制机制,并对性能作了对比。最后,对手机僵尸网络的研究作出了展望。
关键词: 手机僵尸网络;体系结构;命令与控制机制
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)25-5605-03
僵尸网络中攻击者利用网络传播僵尸病毒,通过命令与控制机制实现一对多的网络控制。随着通信平台技术的发展、智能手机的出现,开放、功能完善的手机系统,致使攻击者将越来越多的视线由计算机网络转向移动平台。谷歌的Android系统、苹果的IOS系统,在为开发人员提供便捷开发平台的同时,也给开发者和客户带来严重的安全隐患。2004年,Symbian上发现首例利用蓝牙技术传播的Carbir蠕虫。2009年,相继出现SYMBOSYXES.B和Ikee.B,手机僵尸网络正式进驻通信平台。2011年,国内手机僵尸网络全面爆发,攻击者通过僵尸手机发送含广告内容的短信来获利。2012年赛门铁克公司通告,发现感染多达数十万台手机的Android.Bmaster,不久后发现了其变异的MDK。攻击者利用手机僵尸网络实现恶意扣费、窃取用户机密信息、进行手机欺诈和发送垃圾信息等恶意行为,给手机用户造成巨大的损失。由此可见,手机僵尸网络的出现不仅给开发人员带来了技术挑战,也给用户的通信安全造成威胁。
现有对手机僵尸网络的研究主要集中在对整个手机僵尸网络的构建上[1-3],对手机僵尸网络的防御研究较少[4]。为了能有效的防御和对抗可能出现的手机僵尸网络,必须对手机僵尸网络的工作原理,特别是手机僵尸网路的命令与控制机制有深入的理解。
1 手机僵尸网络的体系结构
僵尸网络要能在移动平台上正常运转必须具备两个条件:1)手机僵尸病毒能自主传播;2)攻击者能通过命令与控制信道控制整个手机僵尸网络。智能手机系统的无间隙连接因特网为僵尸网络的运转提供了有利的条件。通过通信网络与因特网的有效结合,攻击者能有效的掌控手机僵尸网络。所以在手机僵尸网络的组成中,既包含了常见的通信服务器和SMS/MMS通信基础,也应包含计算机的网络服务器等基础设施。手机僵尸网络的整个网络体系结构如图1所示。
2 手机僵尸网络的命令与控制机制
2.1 手机僵尸病毒的传播
手机僵尸病毒的主动传播是攻击者获得大量妥协手机的前提。攻击者利用多种技术实现僵尸病毒的传播。最早的手机病毒Carbir就是利用蓝牙技术进行传播。这种传播方式的优点是便于实现数据的传输,但该方式的缺陷十分明显[5]。蓝牙技术的有限距离为10m,超出范围将无法实现。同时,通过蓝牙技术接受文件必须经客户确认,这为攻击者利用蓝牙技术实现传播增加了难度。
利用短信和无线网络技术是现在最常用的方式。攻击者发送包含病毒链接的垃圾信息,客户点击链接、下载病毒文件并执行,从而保证僵尸病毒的有效传播。同时,僵尸病毒的传播机制受到攻击者的控制,传播的同时有规律的组建相应的网络体系结构。文献[1]就提出了一种有效的传播模型。攻击者利用手机系统漏洞来植入手机僵尸病毒。植入后的病毒再进行初步传播后,要与相应的区域网络服务器通信,并将自身信息发送至攻击者节点。攻击者根据得到的信息,总体监控网络,并命令妥协手机是否捕获新的节点和传播僵尸病毒。
2.2 命令与控制信道的构建
1)基于SMS/MMS的命令与控制方式
SMS,Short Messaging Service短消息服务,它可以通过手机等移动设备发送文本型消息。MMS,Multimedia Message Service多媒体短信服务,俗称“彩信”。MMS最大的特色就是支持多媒体功能,它完全整合视频片段、图片、声音和文字,传送方式除了在手机间传送外,还可以是手机与电脑间的传送。MMS基于SMTP协议进行收发,类似于普通的电子邮件。
基于短消息服务SMS/MMS的命令控制方式[2],通过手机的短信功能实现控制者对僵尸手机的控制。攻击者通过向妥协手机发送固定格式的短信命令。妥协手机对接受到的信息进行分析,当得到特定格式和内容的短信时,手机中的僵尸程序分解命令并判断是否转发和执行相应的命令。同时转发命令时读取存储卡中的其它节点信息,将命令以短信模式转发,从而实现命令的和传播。另一方面,妥协主机需要向攻击者反馈信息时,采用MMS模式发送给攻击者手机或PC主机。采用该种模式对于攻击者来说,便于构建和维护,因为短信服务是现在所有手机都具备的基本功能。特别是Android系统中有专门针对SMS服务的API函数,攻击者能高效实现命名的和信息的反馈,有效控制手机僵尸网络。
但采用这种模式有一个很大的缺陷,就是在对手机僵尸网络控制的过程中,会产生大量用于节点间的命令和信息传输的短信,这会给手机用户产生相应的费用支出,进而被手机用户发现并将其删除。
2)基于计算机网络的命令与控制方式
攻击者利用计算机网络作为手机僵尸网络的命令与控制信道,主要通过HTTP协议来实现,通过网络服务器(如:图片服务器、微博服务器或电子邮件服务器等)实现对手机僵尸网络的控制。文献[3]使用互联网上的图片服务器及微博服务器构建了一种适合手机僵尸网络的命令控制信道。
命令与控制信道主要实现攻击者命令的、传播和妥协手机信息的反馈两个方面。攻击者将加了命令的图片上传至图片服务器,并将图片的链接地址通过微博。妥协手机周期性的访问微博上的链接,下载含命令的图片,从而接收攻击者的命令。手机的状态信息回收主要通过HTTP方式将手机的IMEI码等基本信息返回给攻击者。
3) 基于混合模式的命令与控制方式
混合模式的命令与控制机制主要结合了HTTP和SMS技术[1]。该机制的网络体系结构如图4所示,将手机僵尸网络分为了多层。有攻击者、控制服务器和网络服务器构成僵尸网络的第一层,该层主要运行在因特网上,所以采用HTTP协议进行命令的和传播。由妥协主机组成的第二层、第三层甚至第N层,由第一层的网络服务器通过SMS方式进行命令的、传播和信息的反馈。而在每一层里选出优秀的妥协主机或妥协手机作为区域网内的优先节点与上层或攻击者通信,从而大大提高手机僵尸网络的控制力度和范围。
2.3 命令与控制机制对比
上述的几种命令与控制机制都各有优势,但也各自存在着不足,表1对几种机制进行了对比。采用HTTP模式的命令与控制机制在整体性能上较好,但由于手机用户如果不经常开启无线网络,攻击者对其可控性仅仅是适中。而混合模式虽然可控性较好,但依然会产生大量的通信流量和短信费用。
参考文献:
[1] 耿贵宁,陈冬青.移动僵尸网络的设计及分析[J].清华大学学报:自然科学版,2011,51(10).
[2] Zeng Yuan-yuan, Hu Xin, Shin K G. Design of SMS CommandedandControlled and P2P-Structured Mobile Botnets [EB/OL]. https://www.eecs.umich.edu/techreports/cse/2010/CSE-TR-562-10.pdf.
[3] 刘潇逸,崔翔,郑东华,等. 一种基于Android 系统的手机僵尸网络[J]. 计算机工程, 2011,11,37(22).
[4] 王大中.基于Android 0s的移动僵尸网络防护与检测研究初探[J]. 计算机光盘软件与应用, 2013(2).
[5] Singh K, Sangal S, Jain N, et al.Evaluating Bluetooth as a Medium for Botnet Command and Control[J].in Proceedings of the International Conference on Detection of Intrusions and Malware, and Vulnerability Assessment (DIMVA), 2010.