基于webshell的僵尸网络研究-李可.pdf

《基于webshell的僵尸网络研究-李可.pdf》由会员分享，可在线阅读，更多相关《基于webshell的僵尸网络研究-李可.pdf（9页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第37卷第6期2016年6月通信学报Journal on Commtmications、，0137 NO6June 2016doi：1011959jissn1000-436x2016118基于Webshell的僵尸网络研究李可】，2，方滨兴1，崔翔12，刘奇旭2，严志涛2(1北京邮电大学计算机学院，北京100876：2中国科学院信息工程研究所，北京100093)摘要：以Web服务器为控制目标的僵尸网络逐渐兴起，传统命令控制信道模型无法准确预测该类威胁。对传统Webshell控制方式进行改进，提出一种树状拓扑结构的信道模型。该模型具备普适和隐蔽特性，实验证明其命令传递快速可靠。总结传统防御手段在

2、对抗该模型时的局限性，分析该信道的固有脆弱性，提出可行的防御手段。关键词：僵尸网络；命令与控制；信道预测；Webshell中图分类号：TP3095 文献标识码：AResearch on Webshellbased botnetLI KeL2，FANG Binxin91，CUI Xian91，LIU QiXU2，YAN Zhita02(1School ofComputer,Beijing University ofPosts and Telecommunications，Beijing 100876，China；2Institute ofInformation Engineering，Chine

3、seAcademy ofSciences，Beijing 100093，China)Abstract：、itll the rapid fismg of Web server-based botnetstraditional channel models were unable to predict threesfrom themBased on improving traditional Webshell control methoda command and control charmel modeI based ontree structure was proposed111e model

4、 was widely applicable and stealthy and the simulation experimental results show itcan acliieve rapid and reliable commands deliveryAftcr summarizing the limitations of current defenses against the pro-posed model，the models inherem vulnerabilities is analyzed and feasible defense strategies are put

5、 forwardKey words：botnet，command and control，channel prediction，Webshell1引言僵尸网络(botnet)是指通过入侵网络空间内若干非合作用户终端构建的、可被攻击者远程控制的通用计算平台。其中，被感染的用户终端称之为僵尸主机(bot)；攻击者指掌握僵尸主机资源，对其具有操控权力的控制者(botmaster)；远程控制指攻击者通过命令与控制(C&C，command andcontr01)信道对僵尸主机进行一对多的操控。通过僵尸网络所掌握的大量计算及信息资源，攻击者可发起分布式拒绝服务攻击(DDoS，distributed den

6、ialofservice)、垃圾邮件(spare)、恶意软件分发、点击欺诈(click fraud)以及比特币网络攻击等恶意活动【2，3J，给互联网安全构成严重威胁。僵尸网络的发展经历了3个阶段：早期僵尸网络以个人计算机PC为感染目标；随着智能手机的普及和通信技术的发展，移动僵尸网络逐渐成为了工业和学术研究的新方向。而如今，在PC和手机终端防护日趋完善，僵尸主机生存面临瓶颈的背景下，攻击者将目光投向了互联网中大量开放且脆马马的w曲服务器【4J，根据NETCRAFT网站2015年11月发布的报告【5J显示，全球面向Web服务的主机数达553万台，Web站点数量超过9亿个。赛门铁克(Symante

7、c)互联网安全威胁研究报剖6J显示，2014年全球网站中有76存在安全漏洞，其中的20存在高危漏洞。随着CGIPHP(CVE一2012一1823)、Structs2(CVE 2013225I)、“破壳”(CVE20146271)等重量级漏洞的频繁曝收稿日期：20151215；修回日期：20160308基金项目：国家自然科学基金资助项目(No61303239)；国家高技术研究发展计划(“863”计划)基金资助项目(No2012AA012902)Foundation Items：The National Natural Science Foundation of China(No6 1 30323

8、9)，The National High Technology Research andDevelopment Program(863 Program)fNo2012AA012902)万方数据通信学报 第37卷出，诸如Wopbot、TSUNAMI、BoSSaBoTv2等【弗J以Web服务器为攻击对象的僵尸网络案例不断出现，网站的服务及数据安全面临着严峻的挑战。在Web服务器僵尸网络的研究方向上，学术界尚未出现针对该应用背景的攻防研究。此外，工业界案例普遍存在感染过程复杂、依赖管理员系统权限、通信信道脆弱的缺陷，难以广泛实现和长期生存。这些已有案例未能针对Web服务的特性和对抗环境进行演化，该类

9、型的僵尸网络预测尚存在研究的空间。基于以上事实，利用Webshell构建普适和隐蔽的僵尸网络是一种新思路。如表l所示，同PC和移动僵尸网络相比，Webshell僵尸网络在终端防护、权限要求和数据资源上存在差异，可利用Web应用或服务漏洞自动化感染网络中大量脆弱目标。此外，由于Webshell无法主动持续化运行、依靠外界请求执行功能代码，其命令下需采用主动推送的方式传递(如图l和图2所示)。上述因素导致了传统中心结构和P2P结构僵尸网络模型无法应用于Webshell管控。然而，已知的Webshell的控制方法在面向大规模场景下存在单点性能瓶颈，各感染节点协同工作能力较差，因此，需要提出一种更加高

10、效和健壮的模型来预测此类僵尸网络威胁。控制者命令控制服务器僵尸主机p心结构僵尸网络 P2P结构僵尸网络基于以上事实，本文提出一种基于树状层次化结构的Webshell僵尸网络。该僵尸网络不依赖固脆弱的命令控制资源，引入主机信誉评估和动态加密机制，具有良好的健壮性和隐蔽性。仿真实验证明该僵尸网络的命令传递高效可靠，可管理大规模Webshell。同时针对该僵尸网络特点，本文提出了可行的防御方法。2相关工作幽2 Webshell管控拓扑为了应对未来新型僵尸网络的威胁，研究人员开展了大量僵尸网络信道模型的预测。其中，非中心结构的僵尸网络具有较好的抗毁能力，成为了研究人员关注的重点。Wang等【9J提出了

11、一种新的混合型P2P僵尸网络命令控制信道，该信道采用层次化结构，其初始化(bootstrap)过程不依赖硬编码的节点名单(peer list)或特定域名资源，消除了单点失效，信道的命令传输过程采用非对称密钥加密，难以被防御人员监控和劫持，该方法可以实现负载均衡，具有较好的抗毁能力，可管理大规模僵尸网络。Stamberger等Il uJ提出了一种基于Kademlia协议的僵尸网络命令控制信道协议Overbot， 僵尸主机的请求流量隐藏在合法P2P应用中，难以被追踪和发现，极大提升了僵尸网络整体健壮性和隐蔽性。Hund掣提出了一种难以被追踪和关闭的P2P僵尸网络Rambot，该模型采用基于信誉评分

12、的僵尸主机验证机制(credit-point system)以及工作量证明机制(proof-of-work)判断通信节点身份的真实性，能有效对抗节点名单污染以及“女巫”(sybil)攻击【l 21，具有较好的主机生存性。表1 PC僵尸网络、移动僵尸网络与Webshell僵尸网络对比万方数据第6期 李可等：基于WebsheU的僵尸网络研究 13虽然P2P僵尸网络具有良好的健壮性，然而其最大的局限性在于难以管理，因此，一些研究人员尝试对中心结构僵尸网络进行改进，通常采用第三方协议和应用充当通信载体和媒介，以此增强僵尸网络的隐蔽性和健壮性。Singh等ll列评估了利用Email实现僵尸网络通信的可行

13、性。Xu等【14】研究了利用DNS来构建隐蔽的命令控制信道的可行性。Xiang等【l 5J利用W曲20服务提出了一种基于URL Flux技术的移动僵尸网络，该方法具有良好的隐蔽性和韧性，运用在智能手机场景中能满足低能耗和低资费需求。Lee等【l 6J提出了一种AliasFlux协议的信道模型，该模型通过恶意利用缩址服务和搜索引擎，实现了隐蔽的命令控制活动。不同于上述已有工作，本文在对传统Webshell改进的基础上，提出一种针对Web服务器的轻量级僵尸网络Webot，该僵尸网络基于HTTP协议，不依赖系统权限和第三方应用，具有普适特性；使用主动推送模式下发命令，不依赖脆弱信道资源，较传统信道模

14、型更适用于Web服务器管控场景。3信道设计与实现31 Webshell管控模式改进传统Webshell侧重于单点控制，攻击者往往开发私有脚本工具对Webshell进行单点批量化管理。然而，该模式本质上是简单且脆弱的，在面向大规模管控时并发能力有限，命令下发耗时较长，难以满足实时协同任务的需求。为了满足大规模场景下高效的命令传递和灵活管控，本文对传统Webshell的访问连接及代码结构进行了如下改进。1)在访问连接方面，以PHP格式的Webshell为例，命令传递过程采用无连接思想，即控制者将命令发送给当前僵尸主机后，不等待其执行返回继续执行后续命令下发，ignore )函数能保userabor

15、t(证连接断开后僵尸程序仍可继续正确执行，该方法极大缩短空闲等待时间，允许攻击者实现命令快速传递。2)在代码结构方面，传统的Webshell主要分为简单Webshell和功能Webshell 2种形式。定义1简单Webshelh俗称“小马”，指仅提供基本命令执行功能的Webshell，代码结构简单。定义2功能Webshelh俗称“大马”，指包含完整木马功能的Webshell，代码结构复杂，功能多样。简单Webshell形如，不包含复杂功能代码，命令执行时需动态上传完整执行代码，体积较小，常用于上传功能Webshell；而功能Webshell通常将所有的功能代码整合到Webshell文件中，命令

16、执行时无需上传执行代码，但存在文件体积较大、易遭遇上传拦截和静态查杀的弊端。本文采用的Webshell选取了二者的平衡点，提供基本命令运行及协议实现所需的逻辑功能，不包含具体功能(如DDoS、扫描等)代码，使僵尸程序在支持复杂控制逻辑、具备良好功能扩展性的同时，仍具有较高的渗透成功率和较好的终端生存性。32信道拓扑结构为了消除命令下发单点瓶颈，实现快速、健壮、隐蔽的信息传递，本文设计实现了一种层次化树状拓扑结构的信道模型，该模型自项向下并发传递命令，其中，WebsheU统一称为僵尸主机，进一步按职能又可划分为超级僵尸主机和普通僵尸主机，两者定义如下。定义3超级僵尸主机：通过信誉评估方法筛选出稳

17、定可信的僵尸主机，该类主机在命令的传递过程中承担命令转发职能，既充当服务端又充当客户端。定义4普通僵尸主机：不可信或不稳定的僵尸主机，在命令传递过程中只等待接收攻击者指令，不承担转发功能，只充当客户端。如图3所示，控制者通过跳板网络【2J将命令传递给超级僵尸主机，超级僵尸主机将接收到的命令消息彼此独立、并发地转发给后续子节点，逐层传递，直到命令传达到所有叶子节点(即普通僵尸主机)为止。图3 Webot僵尸网络拓扑结构级僵尸主机普通僵尸主机万方数据通信学报 第37卷33僵尸主机信誉评估在Webot设计中，为消除不稳定或不可信主机(如Sybil节点)对僵尸网络命令控制活动的影响，本文采用信誉评估(

18、reputation evaluation)的方法来对僵尸主机进行筛选，选取可信可靠的主机充当超级僵尸主机，而余下的则为普通僵尸主机，信誉评估标准包括如下内容。1)在线时间L控制者通过Call Home命令对僵尸主机的在线情况进行统计，在线时间越长，认为该主机更稳定可靠。2)网站排名R。假定防御人员部署的Sybil节点通常不具备高权重和高排名属性，基于白名单思想，控制者可借助Alexa排名识别部分高权重的主机，该类僵尸主机通常被认为是可信的。3)工作量证明尸。基于Sybil节点不会对真实互联网发动大量恶意攻击的假设，执行大量恶意攻击的僵尸主机将拥有更多的工作量证明，其可信度越高，控制者通过僵尸

19、主机对自主建立的感知节点进行低速攻击(如DDoS)来评估工作量。综合上述3个因素，单台僵尸主机的信誉值形的判定如下K=wr王+wR足+雌P (1)其中，Wr、WR、Wp分别代表上述各对应因素的判断权重，当所高于预设阈值艿时认为该僵尸主机可充当超级僵尸主机，K越高，所在的层数越小；反之，K低于阈值6的僵尸主机被判定为普通僵尸主机。34僵尸主机状态转移设计每个感染主机均处于等待或活跃2类状态：当空闲时，主机处于等待状态，等候外部来自控制者或其父节点的命令；相应地，主机从接收命令开始到执行代码完毕，整个过程称为活跃状态，具体又可分为接受命令、解析命令、攻击、转发、更新5个子状态。如图4所示，默认超级

20、僵尸主机处于等待状态，一旦获得外部命令后开始执行解密和分析操作。认证无误后，超级僵尸主机开始执行命令，包括转发、攻击和更新3种操作状态：转发操作指超级僵尸主机根据解析的命令内容，将指定的命令转发给选定的子节点；攻击指执行既定的攻击功能(在第45节具体介绍)；更新操作指下载最新功能插件或更新自身文件。命令执行完毕后，主机回归等待状态，等待接受下一次命令。图4超级僵尸主机状态转移如图5所示，普通僵尸主机与超级僵尸主机状态转移过程大致相同，不同之处在于，普通僵尸主机只具备攻击和更新2种操作状态，不具备转发状态。图5普通僵尸主机状态转移35命令控制协议实现为隐藏C&C服务器的真实身份、实现匿名的信息传

21、递，Webot基于hidden service服务，将C&C服务器架设在匿名网络Tot中117】，防御人员难以定位其真实IP。此外，基于可信的云主机或VPS资源，利用第三方代理软件(如Tor2web)，Webot在Tor网络的边界搭建代理节点(如图6所示)，使公网中的僵尸主机无需安装额外组件即可访问Tor网络中的C&C服务器。在协议实现过程中，为了保护通信安全，防止信道劫持，Webot结合对称加密RC4和非对称加密RSA 2种方式对命令来源进行鉴别。同时采用动态加密思想，即单个主机单次通信密钥动态变换机制，对僵尸主机请求C&C服务器过程进行加密认证。表2和表3分别描述了协议实现中有关参数及各实

22、体所掌握资源情况。万方数据第6期 李可等：基于Webshell的僵尸网络研究表2 相关参数说明 如图6所示，Webot命令控制协议实现步骤参数 说明 如下。通知命令，告知节点请求获取功能或转发命令功能命令，包括DDoS、扫描、垃圾邮件发送、文件回传、CallHome、更新等转发命令，包括转发目标u及对应的通知命令CkWebot僵尸主机URL列表代理节点地址RSA加密算法DES加密算法RSA加密算法公钥RSA加密算法私钥Bot ID。标识唯一的僵尸主机时间窗，包括开始时间和结束时间一次性会话密钥表3 各实体所掌握资源角色 所掌握资源控制者Private_KeycER_KeyiCFC&C服务器UC

23、kvL,g_KeyiCrE1Di僵尸主机Public KeyEIDi代理节点 无控制者 跳板网络萋超级僵主机点1)控制者事先生成R Key集合，利用Private 对通知命令C加密得到 ，然后连KeyE(CN)同待下发的功能命令CF一同部署在C&C服务器中。2)控制者通过跳板网络将E(CN)发送给初始的超级僵尸主机，以鳓=鼠佩蚶，R_rey，研，其中，氓锄盯为代理节点的地址；R Key表示当前僵尸主机当次通信所使用的临时密钥，简称一次性会话密钥；r标识该命令的有效时间。3)超级僵尸主机接收到耳c)后利用硬编码的Pub比Key进行解密校验，校验无误后利用Rrey对自身硬编码的ID，进行加密，将E

24、加 发送Key给代理节点，代理节点将请求转发给位于Tor网络中的C&C服务器。4)C&C服务器在接收到请求后，对四f身份及RKey的有效性进行校验，校验通过则返回E(CkCF)R rey。5)超级僵尸主机对返回的命令E1(Ck Cr)R_Key进行解密，其中，印M，以，Ps黜甜，R Key，乃P，咖据硒，超级僵尸主机得到M后，向其中目标主机转发对应的通知指令E(CN)，转发完毕执行功能指令CF。若后续子节点为超级僵尸主机，则执行上述类似操作；若为普通僵尸主机，则只接受并执行G，不进行转发。上述通信流程保证了只有合法僵尸主机才能知晓控制者指令，他人无法通过流量监听获取通信内容，保证了通信的机密性

25、。采用R 加肋的_Key认证方法，能对请求主机身份进行有效鉴别，每个R 只允许当次僵尸主机对岛内容请求一次，可rey：一-J 超级僵尸主机图6 Webot命令与控制协议实现脚勘一，妇一：藿|劬。Gu一鳓珊一皿r脚僦一囊一一丽臻一一一一溪，i万方数据16 通信学报 第37卷有效防止恶意重复请求。4实验评估为检验Webot模型命令传递率及健壮性，本文在仿真环境中对大规模管控场景进行模拟，评估其命令下发速率及传达率；将Webot与随机网络和小世界模型【l 8】进行抗毁能力对比；同时，对Webot可实现的功能进行简要评估。41实验环境本文在本地Openstack虚拟环境下模拟了3 000台僵尸主机，其

26、Web容器采用Apache 242，Webshell采用PHP语言构建，代理节点基于Nginx194搭建。为了避免实验中产生的恶意流量危害真实互联网，本文将C&C服务器设在本地实验环境中，整个通信过程均在本地隔离的环境中完成。42效率评估基于单线程模式及相同的网络参数设置，本文对传统w曲shell下发模式(下文简称传统模式)和Webot协议进行命令下发比较实验：在传统模式实验中，以单点逐一下发的方式将攻击者指令直接传递给所有僵尸主机，信息传递超时时间设置为3 s；在Webot信道模拟实验中，相比于前者，该传递过程增加了C&C服务器请求环节，考虑到在实际下载和转发过程会产生较为明显的耗时，根据预

27、先真实网络中测试结果，在本地仿真实验中设置5 S休眠来模拟真实网络延迟。每一个超级僵尸主机在接收到命令后将指定命令转发给后继的个僵尸主机，源主机在发送数据分组后不等待当前目标主机的反馈和代码执行，直接执行下一个目标主机的转发。C&C服务器可根据僵尸主机请求实时掌握全网命令传递情况。图7显示了下发成功数随时间变化的情况。假设每个超级僵尸主机转发给5个子节点(=5)。在最初下发的36 S中，传统模式下发速率比Webot的速度快，这是由于初始阶段Webot的并发数量少、请求延迟高造成的。在36 S之后，随着并发的超级僵尸主机数量的不断增多，命令传达速度不断提高，发送成功数呈指数级上升，超过了线型增长

28、的传统模式，且随时间的推移，两者数量的差距逐渐拉大。在整个Webot下发实验中，除去少量僵尸主机因网络阻塞原因造成的接收失败，共计2 915台僵尸主机在116 S内完成了命令传递；相比之下，传统模式在同样时间内只下发了323台僵尸主机。可见Webot的管控效率较传统模式具有巨大优势。下发时间8图7命令下发数量对比43可靠性评估当Webot拥有高速下发速率的同时，它的传递可靠性也同样保持较高的水平，本文用命令传达率来评估Webot协议自身传递的可靠性。假设每个超级僵尸主机转发成功率Q为09，这意味着每一个后续节点有09的概率能正确接收到命令。参数代表转发路径的深度。酸II代表僵尸主机总数，风。i

29、ved代表成功接收到指令的数，Webot的命令传达率C为c：争：吕圭(Q)H (2)OAll 1一V =1如图8所示，转发数分别设为10、20、50，在同等条件下进行模拟实验，同等规模下值越大，层数上越小，传达率C越高。选取为50，模拟100 000台的大规模管控场景，当Webot采用不重传策略时，其全网一次性传达率为7311；通过感知全网下发情况，对未到达节点进行2次下发，其全网信息传达率可达9310，累计下发耗时约750 S。20161186旃j51妇小捂僵尸主机数量台图8 Webot命令传达率评f万方数据第6期 李可等：基于Webshell的僵1旧络研究44抗毁能力评估本文采用Li掣18

30、】提出的评估方法，随机去除一定数量主机后观察剩余主机的命令可达情况，即最大剩余可达率(如式(3)所示)。对比随机网络模型、小世界网络模型以及Webot模型三者的抗毁能力。最大剩余可达率=丽酹亏翥鑫鑫箬笔嘉(3)实验选取的随机网络模型其平均邻居节点数为2，小世界网络模型的平均邻居节点数设为4，在同等10 000台规模下进行测试。如图9所示，Webot的抗毁能力明显优于随机网络模型。当移除数小于约2 500台时，Webot的最大剩余可达率略低于小世界网络模型。随着移除数的进一步增加，小世界网络模型的连通性能下降明显，而Webot的下降较为平稳，仍能保持一定的可达率。除此之外，Webot信道具有易恢

31、复和可重构特性，因此，认为该模型具有较好的健壮性。图9 3种模型的最大剩余可达率对比45功能评估Webot信道模型兼容传统Webshell的管控功能，具备传统文件上传、数据库管理等基本功能。此外，控制者可利用Webot实现其他复杂的恶意攻击。1)DDoS。利用Webot高效和协同特性，控制者可以在短时间内集结全网僵尸主机实施持续化的DDoS攻击，由于Web服务器资源往往具有高带宽性能，通常认为该类僵尸网络较传统PC僵尸网络破坏性更强。本文通过网络靶场中60台志愿者主机对Webot的DDoS能力进行实际测试，如图lO所示，DDoS最高峰值可达6 755 kbits，同等条件下，l105台规模DD

32、oS峰值流量理论上可达1073 Gbits。幽lO WebotDDoS流量“录2)网络空间探测。利用分布的和计算资源，结合主控端的统一调度，Webot可用于全球网络空间设备探测，有效解决了探测过程中遭遇封锁的问题。3)钓鱼攻击。Webot掌握了丰富的合法域名资源，通过篡改页面的方式，攻击者可实施持续性的钓鱼攻击。4)黑帽搜索引擎优化。根据Wang掣19】的研究显示，小规模、低流失率的黑帽搜索引擎优化(BlackHat search engine optimization)僵尸网络可对谷歌搜索结果进行毒化，实现恶意内容推广，为攻击者牟取巨额利益。Webot同样可以实现该功能。5防御分析51传统防

33、御方法缺陷传统僵尸网络的防御方法包括Sybil攻击、Sinkhole攻击【20J、劫持以及爬取攻击等，通过这些方法防御人员可以对僵尸网络进行测量、干扰和关闭。本文提出的Webot可以有效抵御这些常规方法。Sybil攻击。Sybil攻击对于Webot的效果十分有限。一方面，在面向大规模僵尸网络的对抗中，由于每个节点所知晓的僵尸主机数有限，防御人员依靠少量Sybil节点很难测量整体的活跃数和规模数；另一方面，即使Sybil节点拒绝将消息转发给后续节点，企图切断命令传递通道，控制者仍可迅速发现该异常，对未接收消息的主机实行二次下发，同时将Sybil节点从超级僵尸主机列表中剔除。Sinkhole攻击。

34、通过前期渗透植入，控制者掌握了全网僵尸主机信息，通过主动推送方式将C&C资源告知全网僵尸主机。该类资源可灵活更替且实现成本小，防御人员难以提前预测并控制这些资源。此外，Tor网络能有效保护onion域名解析过程的安全。因此，Sinkhole手段对于Webot而言几乎无效。20161187万方数据通信学报 第37卷劫持。同其他僵尸网络类似，Webot采用非对称加密算法和时间窗机制来校验命令的有效性，防止命令欺骗和重放攻击，理论上防御人员无法劫持该僵尸网络。爬取攻击。安全人员试图通过爬取的方式发掘僵尸网络的拓扑信息。在Webot模型中，他们可能利用捕获的僵尸主机重复发送请求来获取大量主机信息。然而

35、，在僵尸主机访问C&C服务器过程中，服务器的验证机制首先会检查bot ID和R Key的有效性。防御人员通过逆向分析事先获取了合法的botD，如果缺少合法R 将无法通过验证。_Key即使利用Public Key对通信内容破解，掌握了一次性会话密钥R Key，也只允许获得一次主机信息玑再次提交将会被拒绝。除非能够绕过信誉评估机制并控制大量超级僵尸主机资源，否则，该种攻击效果是有限的。52 Webot防御手段针对Webot的实现机理，本文介绍4种有效的防御手段。首先，匿名网络的自身缺陷可导致僵尸网络被测量和去匿名化：其次，防御人员可通过渗透手段对僵尸网络恶意行为进行实时监控；第三，可对通信过程中的

36、代理节点实施分布式拒绝服务攻击；最后，防御人员需要建立一个国际性的合作渠道来识别、追踪和防御Webot。利用匿名网络漏洞。如果Webot所使用的匿名网络存在可被利用的漏洞，这将影响Webot的整体健壮性和匿名性。以Tor网络为例，安全防御人员可通过控制hidden service的guard node来进行流量的聚合分析【z，揭示C&C服务器的真实IP。渗透监控。由于僵尸主机均需要访问C&C服务器来获取完整代码和指令，对于Webot而言，安全人员控制少量僵尸主机实施隐蔽的渗透攻击是无法避免的。该方法可持续追踪分析僵尸网络的活动。代理节点拒绝服务攻击。在C&C通信过程中，防御人员对代理节点进行拒

37、绝服务攻击，可干扰僵尸网络的命令传递，延长全网命令传达时间，降低其协同攻击的效果。构建国际合作机制。Webot的实现需要匿名网络和虚拟主机提供服务，防御人员应该努力提高公共可用服务的安全性，避免这些服务被恶意利用。同时应该建立一个包含安全研究机构、CERT以及ISP在内的协作渠道未六同打击此类僵尸网络犯罪。6结束语本文设计了一种基于Webshell的树状拓扑结构僵尸网络模型并实现了其原型系统Webot。该僵尸网络可面向大量脆弱Web服务和应用构建，具有良好普适性。基于匿名网络保护，结合主机信誉评估机制，防御人员难以追踪：命令传递采用主动下发，不依赖固定且脆弱集合点，信道难以被关闭。本地仿真实验

38、证明了Webot模型具有良好的效率及健壮性，代表了未来僵尸网络的发展趋势，预计类似的实际案例将会在不久的将来出现。在下一步工作中，将针对该类型的僵尸网络进行深入研究，寻找快速有效的检测方法。参考文献：【l】CUI X，FANG B X，et s1Bomet triple-channel model：towards resilient and efficient bidirectional communication bometsMSecurityand Priracy in Communication NetworksSpringer Imemational Pub-lishing，20132

39、】SHAHID K et a1A taxonomy of botnet behavior,detection，anddefenseJ3Communications SurveysTutorials,IEEE 201 5，16(2)：898924【3】3 HEILMAN E，KENDLER A，ZOHAR A，et al Eclipse attacks onBitcoinS peer-topeer networkC24th USENIX Security Symposium(USEN【x Security 15)c2015：12914441 CANALI D，BAIZAR0n1 DBehind

40、the sc翱髑of online attacks：allanalysis of exploitation behaviors on the WebC20th Annual NetworkDistributed System Security Symposium(NDSS 201 31c2013【5】5 NetcrafiWeb server surveyEBOLhtIp：newsneteratLcomar-chives20151 I16november-2015-web-seavex-surveyhmal6】Symantec2015 Interact security threat repor

41、t【EBOLhttpsJwwwsymanteccomsecurity_tesportsepublicati嗍rtjsp【7F-Secure Backdoor：OsxtsunamiEBOLhllps：wwwf-securecornvdosesbackdoorosxtsunamiashtml【88 New hot malware(BoSSaBoTv2)attacking W曲s棚di,7ov-exedtEBOLhttps：wwwtrustwaveeomResourcesSpiderLabs-Blog-Honeypot-Alert-NewBot-Malware-(BoSSaBoTv2)-Attack

42、ing-Web-Servers-Discovered，9】WANG PSPARKS S，ZOU C CAn adV勰ced hybrid peer-to-peerbotnetJIEEE Transactions on Dependable and Secure Computing，2010，7(2)：l 1312710】S啪ERGERQ KRUEGEL C，KIRDA E、Overbot：a botnetprotocol based on KademliaClThe 4th International Conference onSecurity and Privacy in Communica

43、tion Networks，ACM。c2008【ll】HUND RHAMANN M，HOLZTowards nextgeneration bot-netsCEuropean Conference on Computer Network DefenseIEEE，c2008：33-40【12DOUCEUR J R111e sybil akpe,er-to-peer systemsMSpringerBerlin Heidelberg，2002：25 1-260【13SINGH 14,SRIVASTAVA A，GIFFIN J，et a1Evaluating emailS feasibility fo

44、r bomet command and controlCIEEE International Con2016118-8万方数据第6期 李可等：基于Webshell的僵尸网络研究 19ference Oil Dependable Systems and Networks Wltll FIS and DoCIEEE2008：376-38514】XU K BUTLER PSAHA S，et a1DNS for massivescale commandand conDI叨IEEE Transactions Oil Dependable and Secure Corn-puting，2013，lO(3)

45、：143-153151 CUI X，FNAG B X，et a1Andbot：towards advanced mobile hot-netsCProceedings of the 4th USENIX Conference on LargeScaleExpMi乜and EmergentThreatsUSENIXAssociationc201l：ll11【16】LEE S，KIM JFluxing hornet command and control channels withURL shortening servicesJComputer Communications，2013，36(3)：

46、32033217】SANATINIA A NOUBIR G OnionBots：subverting privacy infra-structure fur eyber attacksCDependable Systems and Networks(DSN)，c2015：69-8018】LI JEHRENKRANz T，KUENNNG G et a1Simulation and analy-sis OB the resiliency and efficiency of malnetsCPrineiples of Advanced and Distilbuted SimulationIEEE，c

47、2005：26226919WANG D Y SAVAGE S，VOELKER G MJuice：a longitudinal studyofan SEO bometCThe NDSS Symposiumc2013【20】ST0桃GRoSS B，COVA MCAVALLARO L，et a1Your botnet ismy bomct：analysis of a hornet takeoverCThe】6th ACM Confer-ence on Computer and Communications SecurityACM，c2009：635647口1】B取HOV A，PUST()GAROV

48、I，wEn狐dNN RTrawling for turhidden services：detection，measurement,deanonymizationC2013IEEE Symposium on Security and Privacy(SP)c2013：8094作者简介：李可(1988)，男，湖南益阳人，北京邮电大学博士生，主要研究方向为网络安全。20161189方滨兴(1960)，男，江西万年人，中国工程院院士，北京邮电大学教授、博士生导师，主要研究方向为计算机体系结构、计算机网络与信息安全。崔翔(1978)，男，黑龙江讷河人，博士，中国科学院信息工程研究所研究员，主要研究方向为网络安全。刘奇旭(1984)，男，江苏徐州人，博士，中国科学院信息工程研究所副研究员，主要研究方向为网络空间安全评测。严志涛(1991)，男，浙江临海人，中国科学院信息工程研究所硕士生，主要研究方向为网络安全。万方数据