BotNet威脅分析與解決方案 · •國際權威研究機構Gartner 預測：...

BotNet威脅分析與解決方案基於個資洩漏防範探討

Ver. 2.0.0

2

大綱

• BotNet介紹

• BotNet的危害

• BotNet的影響

• BotNet的入侵、擴散、連結

• 威播科技防制BotNet解決方案

• 第三方實驗室Anti-Botnet Benchmark公開測試結果

BotNet介紹

BotNet定義

• BotNet是由一群遭受入侵電腦所集結而成的殭屍傀儡網路，受感染電腦使用者常常不知道電腦已遭入侵

• 駭客可透過C&C伺服器下達指令，遠端操控這些殭屍電腦

BotNet的組成

• 殭屍電腦(zombie)– 遭受bot入侵感染的電腦

– 於背景執行惡意程式

• 常為木馬程式或蠕蟲

• 這些惡意程式統稱為bot

• 控制命令伺服器(C&C Server)– Control & Command Server

– 駭客下達命令及接收資訊的中繼站

– 殭屍惡意程式及組態更新來源

• 殭屍網路操控者(botmaster)– 透過C&C Server下達指令控制殭屍

電腦的駭客

– 透過C&C Server瞭解BotNet版圖

BotNet的危害

• DDoS

• 竊取金融資訊

• 間諜網路

• 竊取個資

• SPAM

• 偽造身份網路投票

• 廣告軟體

7

1. BotNet是DDoS攻擊的幕後黑手 1/3

殭屍電腦: 嗨！我是殭屍電腦第XX號，我已經受到感染，向指定C&C伺服器報到註冊

8


Botmaster: 向 x.x.x.x 電腦發動DDoS攻擊

9


無辜第三者遭到大量殭屍電腦的DDoS攻擊！！

10

2. BotNet技術已用於竊取金融資訊 1/2

• Zeus BotNet是知名的金融犯罪木馬程式，主要目的是竊取銀行網站、電子商務交易之帳號及密碼

• 美國FBI估計Zeus BotNet

– 回報FBI案件次數：390

– 預估造成損失：2億2千萬美金

– 已經造成損失：7千萬美金

(統計日期：2010.10.1)

資料來源：美國FBI網站http://www.fbi.gov/news/stories/2010/october/cyber-banking-fraud

11

2. BotNet技術已用於竊取金融資訊 2/2

金融犯罪集團透過BotNet網路竊取您的金融個資

資料來源：美國FBI網站http://www.fbi.gov/news/stories/2010/october/cyber-banking-fraud

12

3. BotNet技術已用於間諜網路

• 2010年4月國際知名研究機構提出的網路間諜研究報告中指出，大陸已利用BotNet技術發展間諜網路系統(Ghost Net)

– 以竊取重要政府機構的機密文件為目的

– 搭配高針對性之目標鎖定式攻擊，針對特定政府人員展開入侵活動

– 有30%遭感染電腦為高度政治敏感性電腦

• 軍事機構、大使館、國際組織、達賴喇麻辦公室、新聞媒體、及非政府組織

http://www.infowar-monitor.net/2010/04/shadows-in-the-cloud-an-investigation-into-

cyber-espionage-2-0/

13

4. BotNet技術可輕易竊取民眾個資

• 竊取經由HTTP / HTTPS 表單所傳送的資料

• 竊取存放 Windows Protected Storage的帳號密碼資料– Microsoft Outlook, Microsoft Outlook Express, Internet

Explorer表單資料

• 竊取FTP以及POP之帳號密碼資料

• 將Victim欲瀏覽的網頁轉向駭客所指定的網頁

• 瀏覽Victim電腦，並竊取檔案

• 蒐集Victim電腦系統資訊– 作業系統版本、Service Pack、語言…

14

5. BotNet是SPAM郵件主要來源

• 研究人員發現感染Bot的電腦為83.2% SPAM郵件的主要來源

http://www.internetnews.com/security/article.php/3827546/Botnet-Blight-Hacked-

PCs-Create-832-of-Spam.htm

15

6. BotNet可用於偽造身份網路投票

• 駭客可透過C&C伺服器，下達指令給殭屍傀儡電腦，讓它們在不知情的情況至特定網站進行大量灌水投票

– 讓「防止相同來源IP大量灌水投票」機制失效

16

7. BotNet可用於大量安裝廣告軟體

• 殭屍電腦會自動下載並安裝廣告軟體，惡意軟體會分析使用者的瀏覽網站習慣，不時彈跳廣告畫面，或誘導使用者瀏覽特定網站

BotNet的影響

18

感染Bot主機全球分佈圖

19

台灣成為BotNet的溫床

• BotNet殭屍電腦全球肆虐，台灣網路受害高居全球第六

• 國內有二百多台電腦成為BotNet網路之命令控制主機，另有上萬台之電腦系統（含政府機關、學校、私人公司），已遭到BotNet入侵，受到駭客控制，並對不特定對象進行癱瘓式之網路攻擊

資料來源：警政署刑事警察局http://www.cib.gov.tw/news/news02_2.aspx?no=261

各大網站遭DDoS攻擊

2010-09-07

21

民眾個資持續外洩(1/2)

• 犯罪集團召募大陸駭客以新型網路釣魚、駭客入侵等手法，有計畫的竊取臺灣民眾之個人基本資料、網路銀行帳號密碼及憑證、航空公司會員資料及帳號密碼等資料

• 並盜轉民眾網路銀行帳戶之存款，嚴重威脅臺灣的網路安全及金融交易機制

資料來源：警政署刑事警察局http://www.cib.gov.tw/news/news02_2.aspx?no=321

民眾個資持續外洩(2/2)

Torpig 殭屍網路案例

• 十天內感染了18萬台個人電腦並攫獲了70GB的使用者資訊

• 總計取得了來自410個不同金融機構的8310個帳號憑證

– 包括取得了1770個PayPal帳號資訊、765個PosteItaliane帳號、314個Capital One帳號、304個E*Trade帳號，及217個Chase帳號

• 蒐集的資訊包括1660個信用卡及簽帳卡號碼

資料來源：iThomehttp://www.ithome.com.tw/itadm/article.php?c=54805

BotNet數據統計

名稱估計感染主機數目 SPAM數目

Mariposa 12,000,000 ?

Conficker 10,000,000 10,000,000,000/day

Zeus3,600,000

(US Only)N/A

Cutwail 1,500,000 74,000,000,000/day

Storm 160,000 3,000,000,000/day

Waledac 80,000 1,500,000,000/day

資料來源：Wikipediahttp://en.wikipedia.org/wiki/Botnet

BotNet的威脅會減少嗎？

26

BotNet的威脅會減少嗎？

• 國際權威研究機構Gartner預測：2013年之前BotNet依然主宰網路攻擊

企業準備夠了嗎？

28

企業的準備夠了嗎？

• 國際權威研究機構Gartner指出：企業需要做得更多，才能對付BotNet

個資法與企業責任(1/2)

• 非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。[個資法第29條]

• 公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但損害因天災、事變或其他不可抗力所致者，不在此限。 [個資法第28-1條]

個資法與企業責任(2/2)

• …如被害人不易或不能證明其實際損害額時，得請求法院依侵害情節，以每人每一事件新臺幣五百元以上二萬元以下計算。對於同一原因事實造成多數當事人權利受侵害之事件，經當事人請求損害賠償者，其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者，以該所涉利益為限。[個資法第28條]

個資法與企業責任-總結

• 不論公務機關或非公務機關，若因未妥善建置資安防護系統，而造成殭屍網路入侵、民眾個資外洩，將難以免責民眾之鉅額求償

BotNet的入侵、擴散、連結

• 入侵

• 擴散

• 與C&C伺服器連線

1. Bot透過各種管道讓使用者執行安裝

1. SPAM

2. IM/P2P

3. 網頁瀏覽/無界(釣魚網站)

4. 社交網站

5. 使用者攜入USB

6. 自行安裝偽裝正常程式之木馬

2. 透過Client Side漏洞直接入侵植入Bot (1/2)

1. 當存有client-side

漏洞的電腦讀取惡意格式PDF、Word、Flashplayer等檔案時就會自動遭到植入bot而不自知

檔案格式漏洞入侵

2. 透過Client Side漏洞直接入侵植入Bot (2/2)

2. 當存有client-side漏洞瀏覽器瀏覽惡意網站時就會自動遭到植入bot而不自知

瀏覽器漏洞入侵


• 入侵

• 擴散


37

3. 掃瞄同網段電腦擴散

• 遭感染的殭屍電腦會掃瞄同網段的其他電腦入侵，以擴大版圖

– 入侵存在系統漏洞的電腦

• 因不經過防火牆，可直接利用Server Side及Client Side漏洞

– 入侵使用懶人密碼的電腦

4. 用盡各種辦法穿透防火牆擴散

• Bot會用盡各種辦法穿透防火牆擴散

– SPAM

– IM

– 社交網站 (Youtube、Facebook、Twitter)


• 入侵

• 擴散


5. 與C&C伺服器連線(1/2)

• 當主機感染bot成為殭屍電腦後，會定期與C&C伺服器連線

– 接受駭客的指令

– 機密資訊經由C&C伺服器輾轉外洩

5. 與C&C伺服器連線(2/2)

• 殭屍電腦與C&C伺服器連線管道

– IRC

– IM/P2P

– Tunnel

– 社交網站

– HTTP/ HTTPS

威播科技防制BotNet解決方案

NetKeeper:

FlowManager:

世界級的入侵防禦系統

網路流量安全分析管理系統

BotNet偵測防禦架構

全面的BotNet偵測防護機制

• IP (RBL, Real-time Black List)– 針對感染了Bot的機器嚐試去連結的IP作阻擋

– 針對有問題的IP去阻擋，避免還沒感染bot的機器受感染

• DNS (RBL, Real-time Black List)– 針對感染了Bot的機器嚐試去查詢的DNS作阻擋

– 針對有問題的DNS去阻擋，避免還沒感染bot的機器受感染

• URL (Signature & Black List)– 針對感染了Bot的機器嚐試去連結的URL作阻擋

– 針對有問題的URL去阻擋，避免還沒感染bot的機器受感染

• C&C (Signature)– 針對不同Bot的C&C特徵作阻擋

• 惡意Spam來源 (Signature & Black List)

最豐富的在地化BotNet資料庫

• 由於Bot是有地區性，而全世界 1/3的惡意程式是來自大陸，因此 BroadWeb 在台灣與大陸設有威脅研究中心，並在台灣與大陸佈建多個偵測點收集更完善的資訊

• 在地化的BotNet Black List

– 與學術單位產學合作收集國內主要 Botnet 資訊

– 與NBL (Network Benchmarking Lab)交大網路測試中心合作將教育網路實際流量導入設備驗證並收集資料

– Beta sites 遍及企業、政府、學術教育等機構

1.減少安裝Bot的各種管道

Bot 進入管道威播方案

SPAMNetKeeper之Signature及Black List減少惡意SPAM

IM/P2P NetKeeper透過RBL、Signature、Black List 阻擋與惡意目的連結

FlowManager控管1800+應用軟體

• 充分管理內部不當使用IM/P2P/社交網站

• 充分管理內部不當使用無界/自由門，誤入釣魚網站

網頁瀏覽/無界(釣魚網站)

社交網站

2. 避免遭透過Client Side漏洞直接入侵植入Bot

Bot 入侵方式威播方案

檔案格式漏洞入侵：當存有client-side漏洞的電腦讀取惡意格式PDF、Word、Flashplayer …等檔案時就會自動遭到植入bot而不自知

瀏覽器漏洞入侵：當存有client-side漏洞瀏覽器瀏覽惡意網站時就會自動遭到植入bot而不自知

1. NetKeeper透過Signature及Black List阻擋惡意SPAM來源，減少使用者收到惡意格式檔案的機會

2. NetKeeper透過Signature比對以及虛擬修補防禦技術阻擋bot經由瀏覽器漏洞入侵植入

3. 防止Bot掃瞄同網段電腦擴散

Bot 內網擴散方式威播方案

掃瞄同網段存在系統漏洞的電腦

再入侵擴散

利用 NetKeeper 偵測內網Bot活動之PC，防止bot透過系統漏洞入侵於內網擴散

掃瞄同網段使用懶人密碼的電腦

再入侵擴散用戶內部資安政策稽核控管

4. 防止Bot穿透防火牆擴散

Bot 穿透防火牆擴散管道威播方案

SPAM

NetKeeper 透過Signature及Black List減少內部經由惡意轉信站散發SPAM

IM

FlowManager控管1800+應用軟體

• 充分管理內部不當使用IM/P2P

• 充分管理內部不當使用Youtube、Facebook、Twitter…等社交網站

社交網站

5. 偵測與切斷Bot與C&C伺服器連線

與C&C伺服器連線管道威播方案

• IRC

• IM/P2P

• Tunnel

• 社交網站

• HTTP/HTTPS

• …

• NetKeeper透過以下機制，偵測與C&C伺服器通訊的殭屍電腦

– C&C特徵碼

– IP/Domain names

RBL (Real-time

Black List)

第三方實驗室Anti-BotnetBenchmark公開測試結果

資料來源；交大NBL實驗室2010/09/17第23次公開測試活動Network Anti-Botnet Benchmark報告

資料來源：交大NBL實驗室2010/09/17第23次公開測試活動Network Anti-Botnet Benchmark報告

謝謝！

敬請指教

BotNet威脅分析與解決方案 · •國際權威研究機構Gartner 預測：...

Documents

Transcript of BotNet威脅分析與解決方案 · •國際權威研究機構Gartner 預測：...