【IT專家網獨家】近來，Windows暴露了許多嚴重的安全漏洞，如沖擊波蠕蟲在2003年利用的MS03-026安全漏洞和2006年8月Mocbot/Wargbot蠕蟲利用的MS06-040安全漏洞。利用這些安全漏洞的惡意軟件數量正在迅速增長。大多數蠕蟲都有許多變體，大多數bot系列蠕蟲的變體比其本身的數量還要多，例如，Agobot、Phatbot和Sdbot等等。眾所周知，bots是僵尸計算機的集合體，用于組成惡意的僵尸網絡。

　　安全專家在今年早些時候的報告中聲稱：在4個月的時間里，我們收集了15,500個獨特的惡意軟件樣本代碼，大約1400MB數據。同時提供了四種不同殺毒引擎新的檢測率為73%至84%。從這些數據中我們不難看出，依靠殺毒軟件始終不適用于每一個用戶。

　　如何才能更加徹底解決惡意軟件的威脅呢？利用干預率很低的蜜罐平臺檢測惡意軟件被廣泛認可，通常蜜罐系統廣泛的被運用于病毒樣本的收集，但這個蜜罐也能夠捕捉惡意軟件并幫助隔離及清除感染。

　　掃描蠕蟲的IDS警報

　　最近幾年發現的破壞性巨大的蠕蟲幾乎都是利用Windows服務安全漏洞進行破壞的。例如，沖擊波、Sasser、Welchia和Slammer等蠕蟲，給全球企業帶來了巨大的損失。

　　入侵檢測系統(IDS)廠商擁有已知的這些蠕蟲的特征數據，配合端口掃描功能能夠發現新的蠕蟲。2003年的沖擊波蠕蟲，每一個被感染的主機每秒鐘要向135/tcp端口發送大約10個數據包，這足以引起Snort軟件報警，有些工具甚至能夠在沖擊波蠕蟲特征數據創建之前就能夠發現這個問題。

　　僵尸網絡的一些問題

　　僵尸計算機（肉雞）與蠕蟲的主要區別是僵尸計算機有一個中央控制通道，向被感染的計算機發送指令，這通常是通過IRC完成的。當進行掃描時，這些僵尸計算機可能會出現類似蠕蟲的行為。但僵尸計算機它們僅根據指令進行掃描。在這種情況下，IDS系統能夠檢測到C&C(指揮與控制)通訊并報告為：

[SCAN]: Exploited yyy.yyy.123.45.

　　總的來說，僵尸計算機在接到命令掃描一個特定的網絡之前通常是非常安靜的：

#(4 - 1329104) [2005-03-25 03:39:49.297] [snort/2001372] 　　BLEEDING-EDGE IRC Trojan Reporting (Scan) 　　IPv4: yyy.yyy.231.32 -> zzz.zzz.163.59 　　hlen=5 TOS=0 dlen=168 ID=18140 flags=0 offset=0 TTL=127 chksum=56572 　　TCP: port=3023 -> dport: 8000 flags=***AP*** seq=1483308911 　　ack=501861482 off=5 res=0 win=64331 urp=0 chksum=51363 　　Payload: length = 128 　　000 : 50 52 49 56 4D 53 47 20 23 61 73 74 72 6F 20 3A PRIVMSG #astro : 　　010 : 5B 53 43 41 4E 5D 3A 20 52 61 6E 64 6F 6D 20 50 [SCAN]: Random P 　　020 : 6F 72 74 20 53 63 61 6E 20 73 74 61 72 74 65 64 ort Scan started 　　030 : 20 6F 6E 20 yy yy yy 2E yy yy yy 2E 78 2E 78 3A on yyy.yyy.x.x: 　　040 : 34 34 35 20 77 69 74 68 20 61 20 64 65 6C 61 79 445 with a delay 　　050 : 20 6F 66 20 35 20 73 65 63 6F 6E 64 73 20 66 6F of 5 seconds fo 　　060 : 72 20 30 20 6D 69 6E 75 74 65 73 20 75 73 69 6E r 0 minutes usin 　　070 : 67 20 32 30 30 20 74 68 72 65 61 64 73 2E 0D 0A g 200 threads...

　　還有一種僵尸計算機利用Google搜索潛在的安全漏洞，這就意味著尋找這種目標不需要進行端口掃描。這種分析結果同樣是在IRC上提出的：

"PRIVMSG #ch :[GOOGLE] Trying to exploit http://www.example.com/index.php"

　　僵尸計算機并不總是像掃描蠕蟲那樣容易被發現，因為它可以長時間處于休眠狀態，只有在接到指令向其它計算機傳播的時候才能引發IDS警報。

    使用蜜罐發現僵尸電腦

　　在大多數蠕蟲和僵尸計算機進行掃描的過程中，許多通訊是指向外部的。在這些情況下，你應該能夠在你的IDS記錄中找到大量的掃描信息，有時候也將掃描內部網絡，來尋找更容易感染的漏洞系統。

　　本文基于Nepenthes蜜罐平臺來介紹。Nepenthes蜜罐平臺是根據一種名叫“豬籠草”的植物命名的。Nepenthes在Unix服務器上運行，提供足夠的通用Windows服務的仿真技術以欺騙多數自動的攻擊。Nepenthes將自動下載惡意的負載并選擇把它自動發送給檢測機構。通常不久，用戶的收件箱將收到關于這個惡意軟件樣本特征的詳細介紹。

　　通常在用戶計算機上運行Nepenthes，將很快發現許多惡意軟件在網絡上流動（當然這里是指接入網絡中的）。有許多僵尸蠕蟲，殺毒軟件并不能很好的檢測出來。雖然很多時候僵尸計算機并不會輕易的向用戶發起攻擊，但加入這些惡意軟件存在于你的網絡中，危害可想而知。

　　安裝和設置Nepenthes

　　安裝過程不是本文的重點，這里就不詳細介紹，使用使用Debian Linux的用戶，擁有預裝的軟件包。其它系統的用戶可以閱讀詳細介紹建立這個軟件包的說明書。

　　Nepenthes軟件安裝完畢之后，用戶可以編輯/etc/nepenthes/nepenthes.conf配置文件，增加“submitnorman.so”、“submit-norman.conf”等文件以便使用Norman sandbox。

    submit-norman.conf文件的內容如下：

submit-norman 　　{ 　　// this is the adress where norman sandbox reports will be sent 　　email "my.email@example.com"; 　　};

　　將把惡意軟件信息發送到Norman的在線沙箱(sandbox)，這個沙箱將進行實時分析并且用電子郵件發出分析的結果。這將為你提供有關惡意軟件代碼的詳細信息，使管理員不必在自己的虛擬機中運行和跟蹤這個惡意軟件代碼，有些用戶愛好逆向工程，在有了Sandbox以后，將可以更快的得到病毒的詳細信息。

　　當你安裝和運行Nepenthes的時候，它應該能夠監聽大量的通用TCP/IP端口，如下所示：

#lsof -i 　　nepenthes 25917 nepenthes 6u IPv4 162588 TCP *:smtp (LISTEN) 　　nepenthes 25917 nepenthes 7u IPv4 162589 TCP *:pop3 (LISTEN) 　　nepenthes 25917 nepenthes 8u IPv4 162590 TCP *:imap2 (LISTEN) 　　nepenthes 25917 nepenthes 9u IPv4 162591 TCP *:imap3 (LISTEN) 　　nepenthes 25917 nepenthes 10u IPv4 162592 TCP *:ssmtp (LISTEN)

　　使用Nepenthes

　　一旦出現要感染Nepenthes傳感器的企圖，Nepenthes將設法下載這個惡意軟件副本并將這個副本傳送到Norman沙箱。下面是關于一個IRC僵尸計算機報告的一部分：

[ Network services ] 　　* Looks for an Internet connection. 　　* Connects to xxx.example.net on port 7654 (TCP). 　　* Sends data stream (24 bytes) to remote address xxx.example.net, port 7654. 　　* Connects to IRC Server. 　　* IRC: Uses nickname xxx. 　　* IRC: Uses username xxx. 　　* IRC: Joins channel #xxx with password xxx. 　　* IRC: Sets the usermode for user xxx to ...

　　管理員可以直接看到IRC服務的詳細信息，這為用戶跟蹤或者進行逆向工程分析節省了很多時間。一些惡意軟件，如Agobot，有反調試代碼，阻止沙箱進行有用的分析。在這種情況下，用戶可以使用殺毒軟件。如果這樣做還不行，你可以把這個下載的二進制代碼發送給在線多引擎掃描(網址是：www.virustotal.com)，它能夠向你提供多種主流殺毒軟件產品關于惡意軟件樣本代碼的報告。

　　捕捉的二進制代碼是根據其md5和校驗碼命名的。這些代碼在/var/lib/nepenthes/binaries這個目錄中：

# ls /var/lib/nepenthes/binaries/ 　　01a7b93e750ac9bb04c24c739b09c0b0 547765f9f26e62f5dfd785038bb4ec0b 　　99b5a3628fa33b8b4011785d0385766b 055690bcb9135a2086290130ae8627dc 　　54b27c050763667c2b476a1312bb49ea ...

　　這個記錄文件還指出每一個二進制代碼是如何和在什么地方獲得的：

# tail -1 /var/log/nepenthes/logged_submissions 　　[2006-07-05T20:37:52] 　　ftp://ftp:password@xxx.info:21/host.exe eb6f41b9b17158fa1b765aa9cb3f36a0

　　如果用戶的殺毒軟件還不能識別這個威脅，只有通過提交樣本給反病毒公司，來迫使他們更新其病毒特征庫。這樣做的目的只有一個，確保蠕蟲大面積爆發時，可以迅速進行清除工作。

　　使用Nepenthes結果

　　新西蘭蜜罐計劃安裝一個Nepenthes蜜罐，這個系統監視255個IP地址，在5天時間里，它收集了74個不同的樣本，其中48個樣本被殺毒產品識別為惡意軟件。在已知的樣本中，大多數為蠕蟲，如Korgo、Doomjuice、Sasser和Mytob，其余各種為IRC bot，如SDBot、Spybot、Mybot和Gobot。讀者可以根據需要對這些樣本進行進一步的分析。

　　結論

　　微軟發布的大量的Windows補丁，修復遠程可利用的安全漏洞。即使有一個良好的補丁管理系統，由于配置錯誤、用戶使用錯誤等原因，某些用戶的內部主機也許會漏掉一些補丁。有大量不同的惡意二進制代碼能夠利用這些安全漏洞獲得訪問這些計算機的權限。由于黑客擁有這些惡意軟件的源代碼，因此將會出現許多變體，普通的殺毒軟件不會檢測到所有的惡意軟件。

　　所以使用交互率較低的蜜罐程序可以更及時的為管理員提供有價值的信息。在與入侵檢測系統一起使用時，可以獲得關于惡意軟件行為、數據包捕捉和惡意二進制代碼本樣本分析等真正實用的信息。