对抗僵尸网络：分析和策略

对抗僵尸网络：分析和策略埃里克·弗雷西内引用此版本：埃里克·弗雷西内。对抗僵尸网络：分析和策略。密码学和安全学[cs.CR]。皮埃尔和玛丽·居里大学-巴黎第六大学，2015年。法语。NNT：2015PA066390。电话：01231974v3HAL ID：电话：01231974https://theses.hal.science/tel-01231974v3提交日期：2016年HAL是一个多学科的开放存取档案馆，用于存放和传播科学研究论文，无论它们是否被公开。论文可以来自法国或国外的教学和研究机构，也可以来自公共或私人研究中心。L’archive ouverte pluridisciplinaire皮埃尔和玛丽·居里大学博士论文专业化信息学计算机、电信和电子博士学院（巴黎）提交人埃里克·弗雷西内要获得的等级皮埃尔和玛丽·居里大学博士论文题目：对抗僵尸网络：分析和策略于2015年11月12日在评审团面前公开展示和支持，评审团成员包括：报告员：M.让-伊夫·M·阿里翁M. Ludovic M洛林大学教授雷恩Supélec研究员兼讲师董事：M. David NACCACHE教授，高等师范学校博士。MatthieuLATAPY，UPMC研究总监，LIP6审查员：Clémence MAGNIEN女士，UPMC研究主任，LIP6Solange GHERNAOUTI女士-埃利M. 文森特·N·伊科米特洛桑大学教授图卢兹INSA教授这篇论文是献给M.一个人如果在- 塞内加谢谢你我要感谢我的两位导师。David Naccache是宪兵队的一名预备役军官，他通过鼓励年轻和不太年轻的工作人员在适当的学术环境中追求他们的激情，为我们机构的研究发展做出了贡献来自LIP6的 Matthieu Latapy，我们能够与他讨论他在互联网上虐待未成年人这一困难领域指导的一篇论文，他同意欢迎我加入他的我还要感谢我还要感谢所有与我交谈过的人，在过去的四年里，我从他们身上学到了很多东西我特别感 谢 LORIA高安 全性 实验室 的研 究人 员，特 别是LORIA 主任Jean-Yves Marion、Guillaume Bonfante和Fabrice Sabatier，Ispra（意大利）欧盟委员会实验室的研究人员Laurent Beslay、Pasquale Stirparo和Apostolos Malatras，以及独立研究员Charlie Hurel和Sekoia公司的Sébastien Larinier，他们提供了宝贵的建议其次，我感谢#botnets.fr社区的所有贡献者，他们的幽默感和想法为我的工作提供了灵感。其中，我特别向我的收养之家--国家宪兵队致敬，在那里我茁壮成长，它欢迎科学家的简介，并为他们提供多样化和令人兴奋的如果没有这个框架，我可能毫无疑问，宪兵是一支人力力量，如果没有我的同志们，没有我我的宪兵、警察、地方法官、法国和其他国家的同事以及欧洲刑警组织的同事也是如此，我能够与他们讨论，有时还6我不可能一一列举，因此，在这些人中，我非常尊敬地向马克·沃廷-奥古阿尔将军（2S）致敬，他不仅为打击网络犯罪的斗争做出了贡献，而且还为这些问题的教学和研究活动的发展做出了贡献我向我的父母致敬并感谢他们的支持，他们J’associe à ces pensées tous les membres dema famille et我还要感谢所有的朋友，他们在我非常感谢我的耐心的审稿人Erwan Abgrall。最后，我感谢本论文的报告员和评审员对目录目录7摘要17导言191观察和分类231.1导言231.2定义231.2.1恶意软件（或恶意软件）241.2.2恶意软件的一些特点251.2.2.1恶意软件的种类251.2.3僵尸网络261.2.3.1可能的定义261.2.3.2关于完整定义271.2.3.3"合法"使用的僵尸网络问题分布式计算................................................................................................28僵尸网络用于不确定的目的....................................................................28法律允许的数据采集................................................................................29受害者有时是自愿的30可能有害的软件301.2.3.4恶意软件类型及其功能的定义318T目录恶意软件的主要类型。. . . . . . . . ...恶意软件中遇到的主要特征31看守人。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...311.2.3.5僵尸网络的组件... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...341.2.3.6：僵尸网络的类、实例和桶. . . . . ...351.2.3.7命令和控制系 统 的 可 能 架构 。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ... ... ... ... ...38集中式体系结构... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...38分散式体系结构。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...39混合架构 ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...41随机体系结构... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...41沟通的感觉... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...42持续性和周期性模态。. ... ... ... ... ... ... ... ... ... ... ... ......43利用... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...43移动平台... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...451.2.3.8生命。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...46这是Gameover僵尸网络的一个例子. ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ...46文献中的模型. . . . . . . . . . . . . . . . . ...47僵尸网络详细生命周期模型的建议.481.2.3.9使用DNS服务器... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...51域名生成算法（DGA）。. . . ...51快速DNS流。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...52DNS作为隐藏通道 ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...531.2.3.10网络的大小... ... ... ... ... ... ... ... ... ... ... ... ...53区分机器人... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...55衡量举措 ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...55在配电网中进行测量。... ... ... ... ... ... ... ... ... ... ... ...58措施结论... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...58T目录91.2.4分布向量。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...591.2.4.1恶意僵尸网络代码的安装示例 . . ...59Dridex僵尸网络于2015年8. . . . . . . . . . . ...591.2.4.2方法和参与者的... ... ... ... ... ... ... ... ... ... ... ... ...61物理安装 ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...6110T目录版本。........................................................................................................61垃圾邮件。................................................................................................62通过自愿下载和执行。............................................................................63免下车下载。............................................................................................63流量分配服务（TDS）。........................................................................64利用工具包。............................................................................................64通过另一个僵尸网络。............................................................................68分布向量的合成........................................................................................681.2.5其他生态系统参与者1.3第一章结论702信息收集2.1语义维基712.1.1定义712.1.2数据结构722.1.3营养策略从出版物和新闻。....................................................................................73有关威胁的................................................................................................732.1.4数据共享742.1.5一些统计数据742.2其他结构化数据752.2.1安全解决方案供应商的知识库752.2.1.1安全产品的检测标准75微软的"Reveton"勒索软件......................................................................752.2.1.2样本库专门的样品库............................................................................................772.2.1.3恶意软件的名称772.2.1.4博客78独立研究人员的博客................................................................................78安全出版商的博客....................................................................................792.2.2MITRE 80的交换格式2.2.2.1MAEC80MAEC捆绑包81T目录11MAEC包装。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ...81MAEC容器。. ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...81词汇。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ... ... ...812.2.2.2斯蒂克斯。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ... ... ... ... ... ...83L’architecturede STIX comporte huit constructeurs: . . . ...83面对我们的僵尸网络调查问题832.2.3其他数据格式。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...842.2.3.1雅拉。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...842.2.4发展建议... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...842.3僵尸网络（和其他威胁）的类别。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...852.3.1分类。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...852.3.2分类方法有哪些？ ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...872.3.3僵尸网络分类结论。 . . . . . . . . . . . . . ...892.4面对具体案例。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...892.4.1警察。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...892.4.2僵尸网络和间谍活动。 . . . . . . . . . . . . . . . ...912.4.3银行僵尸网络。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...932.4.4销售点终端僵尸网络。... ... ... ... ... ... ... ... ... ... ... ... ... ...942.4.5连接对象的性。 . . . . . . . . . . . . . . . . . ...962.5第二章结束。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ... ... ... ... ... ...973对抗僵尸网络993.1导言993.2检测993.2.1被动检测10012T目录3.2.1.1流量和数据包1003.2.1.2DNS协议101的使用3.2.1.3对等网络的特殊情况1023.2.1.4分析与垃圾邮件102垃圾邮件的收集和分析..........................................................................103检测与其基础架构相关的滥用行为。..................................................1033.2.1.5来自安全和防病毒解决方案1053.2.1.6活动日志分析T目录133.2.2蜜罐和模拟。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...1063.2.3主动检测。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...1073.2.3.1沉没。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...1073.2.3.2渗透。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...107IRC命令通道上的活动 ... ... ... ... ... ... ... ... ... ... ... ...108在社交网络... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...108在对等网络 ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...108回到... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...1093.2.4未来的。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ...1093.3恶意软件分析。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...1093.3.1... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...1103.3.2 . ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...1103.3.2.1深入了解 . . . . . . . . . ...111模拟平台... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...1113.3.3检测和规避混淆方法... ... ... ... ... ... ... ... ... ...1113.4开发 . . . . . ...1123.4.1引言。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...1124.2概念。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ... ... ... ...1123.4.3体系结构。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...1123.4.4改进。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ...1143.5防守和拦网。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ... ...1153.5.1防止传播。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...1153.5.2网络中的。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...1163.5.3保护系统。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...11814T目录3.5.3.1防病毒软件。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...118浏览器中的3.5.3.2。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...1193.6拆除。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ... ... ... ...1193.6.1技术。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...1193.6.2私人行为者的。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...1203.6.3警察和司法行动以及联合行动。... ... ... ... ... ... ... ... ...1213.6.4什么策略？... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ......1223.7伦理学。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ... ... ... ... ... ... ... ...1233.8第三章结论。... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...123T目录15结论125Wiki上记录的僵尸网络表botnets.fr127B Wiki中的类定义botnets.fr137B.1僵尸网络138B.1.1导言138B.1.2定义138B.2漏洞利用工具包139B.2.1导言139B.2.2定义139B.3面板140B.3.1引言140B.3.2定义140B.4恶意软件141B.4.1导言141B.4.2定义141B.5服务142B.5.1导言142B.5.2定义142B.5.3词汇142B.5.3.1网络犯罪服务类别142B.6组143B.6.1导言143B.6.2定义143B.6.3词汇表143B.7功能145B.7.1导言145B.7.2定义145B.7.3词汇145B.8活动148B.8.1导言148B.8.2定义148B.9家庭14916T目录B.9.1导言149B.9.2定义149B.10 资产150B.10.1 引言150B.10.2 定义150B.10.3 词汇150B.10.3.1 资源/目标类型150B.11 操作151B.11.1 导言151B.11.2 定义151B.12 出版物152B.12.1 导言152B.12.2 定义152B.12.3 词汇152B.12.3.1 出版物类型152B.13 作者153B.13.1 导言153B.13.2 定义153B.14 编辑153B.14.1 导言153B.14.2 定义153B.15 图像154B.15.1 导言154B.15.2 定义154B.16 语言155B.16.1 导言155B.16.2 定义155B.16.3 词汇155B.17 编程语言155B.17.1 导言155B.17.2 定义155B.17.3 词汇155B.18 向量156T目录17B.18.1 导言156B.18.2 定义156B.19 漏洞156B.19.1 导言156B.19.2 定义156B.19.3 词汇156B.20 协议157B.20.1 导言157B.20.2 定义157B.20.3 词汇157B.21 158年B.21.1 导言158B.21.2 定义158C Dridex159广播中使用的模糊VBA宏示例C.1 宏VBA159C.2 在Pastebin161上恢复宏VBSD 存储在编辑器中的数据示例163E 关于考虑安全更新的研究167E.1研究期间E.2问题167E.2.1您的公司或组织的部门是什么？......................................................................167E.2.2您的计算机园区有多大？..................................................................................168E.2.3对于您的工作站（和笔记本电脑），您是否有使软件和操作系统保持最新的策略？......................................................................................................................168E.2.4对于您的服务器，您是否有您的软件和操作系统..........................................................................................168E.2.5您是否有..............................................................................................................168E.2.6您的计算机系统中自动更新的比例是多少？(syst第168章第一次............... 见面E.2.7您的计算机群中有多少百分比的是否会自动更新？..............................................................................................169E.2.8您的计算机系统中自动更新的比例是多少？（网络浏览器）...................... 170E.2.9您的计算机系统中自动更新的比例是多少？ （Web浏览器扩展）.............. 17018T目录E.2.10 您的计算机系统中自动更新的比例是多少？（其他软件）.......................... 171E.2.11 如果您正常的一天？......................................................................................................172E.2.12 如果您使用网关允许从授权的最新Web浏览器？............................................................................. 172E.2.13 可能阻止您实施的主要原因是什么？是否符合上述......................................................................................................172E.2.13.1 其他答复173定义列表175表列表177表179首字母缩略词183参考书目185T目录19