基于Webshell的僵尸網絡研究

李可，方濱興，崔翔，劉奇旭，嚴志濤

?

基于Webshell的僵尸網絡研究

李可1,2，方濱興1，崔翔1,2，劉奇旭2，嚴志濤2

(1. 北京郵電大學計算機學院，北京 100876；2. 中國科學院信息工程研究所，北京 100093)

以Web服務器為控制目標的僵尸網絡逐漸興起，傳統命令控制信道模型無法準確預測該類威脅。對傳統Webshell控制方式進行改進，提出一種樹狀拓撲結構的信道模型。該模型具備普適和隱蔽特性，實驗證明其命令傳遞快速可靠。總結傳統防御手段在對抗該模型時的局限性，分析該信道的固有脆弱性，提出可行的防御手段。

僵尸網絡；命令與控制；信道預測；Webshell

1 引言

僵尸網絡（botnet）是指通過入侵網絡空間內若干非合作用戶終端構建的、可被攻擊者遠程控制的通用計算平臺[1]。其中，被感染的用戶終端稱之為僵尸主機（bot）；攻擊者指掌握僵尸主機資源，對其具有操控權力的控制者（botmaster）；遠程控制指攻擊者通過命令與控制（C&C, command and control）信道對僵尸主機進行一對多的操控。通過僵尸網絡所掌握的大量計算及信息資源，攻擊者可發起分布式拒絕服務攻擊（DDoS, distributed denial of service）、垃圾郵件（spam）、惡意軟件分發、點擊欺詐（click fraud）以及比特幣網絡攻擊等惡意活動[2,3]，給互聯網安全構成嚴重威脅。

僵尸網絡的發展經歷了3個階段：早期僵尸網絡以個人計算機PC為感染目標；隨著智能手機的普及和通信技術的發展，移動僵尸網絡逐漸成為了工業和學術研究的新方向。而如今，在PC和手機終端防護日趨完善，僵尸主機生存面臨瓶頸的背景下，攻擊者將目光投向了互聯網中大量開放且脆弱的Web服務器[4]，根據NETCRAFT網站2015年11月發布的報告[5]顯示，全球面向Web服務的主機數達553萬臺, Web 站點數量超過9億個。賽門鐵克（Symantec）互聯網安全威脅研究報告[6]顯示，2014年全球網站中有76%存在安全漏洞，其中的20%存在高危漏洞。隨著CGI-PHP （CVE-2012-1823）、Structs2 （CVE 2013-2251）、“破殼”（CVE-2014-6271）等重量級漏洞的頻繁曝出，諸如Wopbot、TSUNAMI、BoSSaBoTv2等[7,8]以Web服務器為攻擊對象的僵尸網絡案例不斷出現，網站的服務及數據安全面臨著嚴峻的挑戰。

在Web服務器僵尸網絡的研究方向上，學術界尚未出現針對該應用背景的攻防研究。此外，工業界案例普遍存在感染過程復雜、依賴管理員/系統權限、通信信道脆弱的缺陷，難以廣泛實現和長期生存。這些已有案例未能針對Web服務的特性和對抗環境進行演化，該類型的僵尸網絡預測尚存在研究的空間。

基于以上事實，利用Webshell構建普適和隱蔽的僵尸網絡是一種新思路。如表1所示，同PC和移動僵尸網絡相比，Webshell僵尸網絡在終端防護、權限要求和數據資源上存在差異，可利用Web應用或服務漏洞自動化感染網絡中大量脆弱目標。此外，由于Webshell無法主動持續化運行、依靠外界請求執行功能代碼，其命令下需采用主動推送的方式傳遞（如圖1和圖2所示）。上述因素導致了傳統中心結構和P2P結構僵尸網絡模型無法應用于Webshell管控。然而，已知的Webshell的控制方法在面向大規模場景下存在單點性能瓶頸，各感染節點協同工作能力較差，因此，需要提出一種更加高效和健壯的模型來預測此類僵尸網絡威脅。

表1 PC僵尸網絡、移動僵尸網絡與Webshell僵尸網絡對比

基于以上事實，本文提出一種基于樹狀層次化結構的Webshell僵尸網絡。該僵尸網絡不依賴固脆弱的命令控制資源，引入主機信譽評估和動態加密機制，具有良好的健壯性和隱蔽性。仿真實驗證明該僵尸網絡的命令傳遞高效可靠，可管理大規模Webshell。同時針對該僵尸網絡特點，本文提出了可行的防御方法。

2 相關工作

為了應對未來新型僵尸網絡的威脅，研究人員開展了大量僵尸網絡信道模型的預測。其中，非中心結構的僵尸網絡具有較好的抗毀能力，成為了研究人員關注的重點。Wang等[9]提出了一種新的混合型P2P僵尸網絡命令控制信道，該信道采用層次化結構，其初始化（bootstrap）過程不依賴硬編碼的節點名單（peer list）或特定域名資源，消除了單點失效，信道的命令傳輸過程采用非對稱密鑰加密，難以被防御人員監控和劫持，該方法可以實現負載均衡，具有較好的抗毀能力，可管理大規模僵尸網絡。Starnberger等[10]提出了一種基于Kademlia協議的僵尸網絡命令控制信道協議Overbot，僵尸主機的請求流量隱藏在合法P2P應用中，難以被追蹤和發現，極大提升了僵尸網絡整體健壯性和隱蔽性。Hund等[11]提出了一種難以被追蹤和關閉的P2P僵尸網絡Rambot，該模型采用基于信譽評分的僵尸主機驗證機制（credit-point system）以及工作量證明機制（proof-of-work）判斷通信節點身份的真實性，能有效對抗節點名單污染以及“女巫”（sybil）攻擊[12]，具有較好的主機生存性。

雖然P2P僵尸網絡具有良好的健壯性，然而其最大的局限性在于難以管理，因此，一些研究人員嘗試對中心結構僵尸網絡進行改進，通常采用第三方協議和應用充當通信載體和媒介，以此增強僵尸網絡的隱蔽性和健壯性。Singh等[13]評估了利用E-mail實現僵尸網絡通信的可行性。Xu等[14]研究了利用DNS來構建隱蔽的命令控制信道的可行性。Xiang等[15]利用Web 2.0服務提出了一種基于URL Flux技術的移動僵尸網絡，該方法具有良好的隱蔽性和韌性，運用在智能手機場景中能滿足低能耗和低資費需求。Lee等[16]提出了一種Alias-Flux協議的信道模型，該模型通過惡意利用縮址服務和搜索引擎，實現了隱蔽的命令控制活動。

不同于上述已有工作，本文在對傳統Webshell改進的基礎上，提出一種針對Web服務器的輕量級僵尸網絡Webot，該僵尸網絡基于HTTP協議，不依賴系統權限和第三方應用，具有普適特性；使用主動推送模式下發命令，不依賴脆弱信道資源，較傳統信道模型更適用于Web服務器管控場景。

3 信道設計與實現

3.1 Webshell管控模式改進

傳統Webshell側重于單點控制，攻擊者往往開發私有腳本工具對Webshell進行單點批量化管理。然而，該模式本質上是簡單且脆弱的，在面向大規模管控時并發能力有限，命令下發耗時較長，難以滿足實時協同任務的需求。為了滿足大規模場景下高效的命令傳遞和靈活管控，本文對傳統Webshell的訪問連接及代碼結構進行了如下改進。

1) 在訪問連接方面，以PHP格式的Webshell為例，命令傳遞過程采用無連接思想，即控制者將命令發送給當前僵尸主機后，不等待其執行返回繼續執行后續命令下發，( )函數能保證連接斷開后僵尸程序仍可繼續正確執行，該方法極大縮短空閑等待時間，允許攻擊者實現命令快速傳遞。

2) 在代碼結構方面，傳統的Webshell主要分為簡單Webshell和功能Webshell 2種形式。

定義1 簡單Webshell：俗稱“小馬”，指僅提供基本命令執行功能的Webshell，代碼結構簡單。

定義2 功能Webshell：俗稱“大馬”，指包含完整木馬功能的Webshell，代碼結構復雜，功能多樣。

簡單Webshell形如 ，不包含復雜功能代碼，命令執行時需動態上傳完整執行代碼，體積較小，常用于上傳功能Webshell；而功能Webshell通常將所有的功能代碼整合到Webshell文件中，命令執行時無需上傳執行代碼，但存在文件體積較大、易遭遇上傳攔截和靜態查殺的弊端。本文采用的Webshell選取了二者的平衡點，提供基本命令運行及協議實現所需的邏輯功能，不包含具體功能（如DDoS、掃描等）代碼，使僵尸程序在支持復雜控制邏輯、具備良好功能擴展性的同時，仍具有較高的滲透成功率和較好的終端生存性。

3.2 信道拓撲結構

為了消除命令下發單點瓶頸，實現快速、健壯、隱蔽的信息傳遞，本文設計實現了一種層次化樹狀拓撲結構的信道模型，該模型自頂向下并發傳遞命令，其中，Webshell統一稱為僵尸主機，進一步按職能又可劃分為超級僵尸主機和普通僵尸主機，兩者定義如下。

定義3 超級僵尸主機：通過信譽評估方法篩選出穩定可信的僵尸主機，該類主機在命令的傳遞過程中承擔命令轉發職能，既充當服務端又充當客戶端。

定義4 普通僵尸主機：不可信或不穩定的僵尸主機，在命令傳遞過程中只等待接收攻擊者指令，不承擔轉發功能，只充當客戶端。

如圖3所示，控制者通過跳板網絡[2]將命令傳遞給超級僵尸主機，超級僵尸主機將接收到的命令消息彼此獨立、并發地轉發給后續子節點，逐層傳遞，直到命令傳達到所有葉子節點（即普通僵尸主機）為止。

3.3 僵尸主機信譽評估

在Webot設計中，為消除不穩定或不可信主機（如Sybil節點）對僵尸網絡命令控制活動的影響，本文采用信譽評估（reputation evaluation）的方法來對僵尸主機進行篩選，選取可信可靠的主機充當超級僵尸主機，而余下的則為普通僵尸主機，信譽評估標準包括如下內容。

1) 在線時間。控制者通過Call Home命令對僵尸主機的在線情況進行統計，在線時間越長，認為該主機更穩定可靠。

2) 網站排名。假定防御人員部署的Sybil節點通常不具備高權重和高排名屬性，基于白名單思想，控制者可借助Alexa排名識別部分高權重的主機，該類僵尸主機通常被認為是可信的。

3) 工作量證明。基于Sybil節點不會對真實互聯網發動大量惡意攻擊的假設，執行大量惡意攻擊的僵尸主機將擁有更多的工作量證明，其可信度越高，控制者通過僵尸主機對自主建立的感知節點進行低速攻擊（如DDoS）來評估工作量。

綜合上述3個因素，單臺僵尸主機的信譽值V的判定如下

其中，w、w、w分別代表上述各對應因素的判斷權重，當V高于預設閾值時認為該僵尸主機可充當超級僵尸主機，V越高，所在的層數越小；反之，V低于閾值的僵尸主機被判定為普通僵尸主機。

3.4 僵尸主機狀態轉移設計

每個感染主機均處于等待或活躍2類狀態：當空閑時，主機處于等待狀態，等候外部來自控制者或其父節點的命令；相應地，主機從接收命令開始到執行代碼完畢，整個過程稱為活躍狀態，具體又可分為接受命令、解析命令、攻擊、轉發、更新5個子狀態。

如圖4所示，默認超級僵尸主機處于等待狀態，一旦獲得外部命令后開始執行解密和分析操作。認證無誤后，超級僵尸主機開始執行命令，包括轉發、攻擊和更新3種操作狀態：轉發操作指超級僵尸主機根據解析的命令內容，將指定的命令轉發給選定的子節點；攻擊指執行既定的攻擊功能（在第4.5節具體介紹）；更新操作指下載最新功能插件或更新自身文件。命令執行完畢后，主機回歸等待狀態，等待接受下一次命令。

如圖5所示，普通僵尸主機與超級僵尸主機狀態轉移過程大致相同，不同之處在于，普通僵尸主機只具備攻擊和更新2種操作狀態，不具備轉發狀態。

3.5 命令控制協議實現

為隱藏C&C服務器的真實身份、實現匿名的信息傳遞，Webot基于hidden service服務，將C&C服務器架設在匿名網絡Tor中[17]，防御人員難以定位其真實IP。此外，基于可信的云主機或VPS資源，利用第三方代理軟件（如Tor2Web），Webot在Tor網絡的邊界搭建代理節點（如圖6所示），使公網中的僵尸主機無需安裝額外組件即可訪問Tor網絡中的C&C服務器。

在協議實現過程中，為了保護通信安全，防止信道劫持，Webot結合對稱加密RC4和非對稱加密RSA 2種方式對命令來源進行鑒別。同時采用動態加密思想，即單個主機單次通信密鑰動態變換機制，對僵尸主機請求C&C服務器過程進行加密認證。表2和表3分別描述了協議實現中有關參數及各實體所掌握資源情況。

表2 相關參數說明

表3 各實體所掌握資源

如圖6所示，Webot命令控制協議實現步驟如下。

1) 控制者事先生成∑集合，利用對通知命令C加密得到(C)，然后連同待下發的功能命令C一同部署在C&C服務器中。

2) 控制者通過跳板網絡將(C)發送給初始的超級僵尸主機，(C)=(Sensor，，)，其中，Sensor為代理節點的地址；表示當前僵尸主機當次通信所使用的臨時密鑰，簡稱一次性會話密鑰；標識該命令的有效時間。

3) 超級僵尸主機接收到(C)后利用硬編碼的進行解密校驗，校驗無誤后利用對自身硬編碼的ID進行加密，將’(ID)發送給代理節點，代理節點將請求轉發給位于Tor網絡中的C&C服務器。

4) C&C服務器在接收到請求后，對ID身份及的有效性進行校驗，校驗通過則返回’(C, C)。

5) 超級僵尸主機對返回的命令’(C, C)進行解密，其中，C=<U,(C)=<U,(Sensor，，)>，超級僵尸主機得到U后，向其中目標主機轉發對應的通知指令(C)，轉發完畢執行功能指令C。若后續子節點為超級僵尸主機，則執行上述類似操作；若為普通僵尸主機，則只接受并執行C，不進行轉發。

上述通信流程保證了只有合法僵尸主機才能知曉控制者指令，他人無法通過流量監聽獲取通信內容，保證了通信的機密性。采用加的認證方法，能對請求主機身份進行有效鑒別，每個只允許當次僵尸主機對C內容請求一次，可有效防止惡意重復請求。

4 實驗評估

為檢驗Webot模型命令傳遞率及健壯性，本文在仿真環境中對大規模管控場景進行模擬，評估其命令下發速率及傳達率；將Webot與隨機網絡和小世界模型[18]進行抗毀能力對比；同時，對Webot可實現的功能進行簡要評估。

4.1 實驗環境

本文在本地Openstack虛擬環境下模擬了3 000臺僵尸主機，其Web容器采用Apache 2.4.2，Webshell采用PHP語言構建，代理節點基于Nginx 1.9.4搭建。為了避免實驗中產生的惡意流量危害真實互聯網，本文將C&C服務器設在本地實驗環境中，整個通信過程均在本地隔離的環境中完成。

4.2 效率評估

基于單線程模式及相同的網絡參數設置，本文對傳統Webshell下發模式（下文簡稱傳統模式）和Webot協議進行命令下發比較實驗：在傳統模式實驗中，以單點逐一下發的方式將攻擊者指令直接傳遞給所有僵尸主機，信息傳遞超時時間設置為3 s；在Webot信道模擬實驗中，相比于前者，該傳遞過程增加了C&C服務器請求環節，考慮到在實際下載和轉發過程會產生較為明顯的耗時，根據預先真實網絡中測試結果，在本地仿真實驗中設置5 s休眠來模擬真實網絡延遲。每一個超級僵尸主機在接收到命令后將指定命令轉發給后繼的個僵尸主機，源主機在發送數據分組后不等待當前目標主機的反饋和代碼執行，直接執行下一個目標主機的轉發。C&C服務器可根據僵尸主機請求實時掌握全網命令傳遞情況。

圖7顯示了下發成功數隨時間變化的情況。假設每個超級僵尸主機轉發給5個子節點(= 5)。在最初下發的36 s中，傳統模式下發速率比Webot的速度快，這是由于初始階段Webot的并發數量少、請求延遲高造成的。在36 s之后，隨著并發的超級僵尸主機數量的不斷增多，命令傳達速度不斷提高，發送成功數呈指數級上升，超過了線型增長的傳統模式，且隨時間的推移，兩者數量的差距逐漸拉大。在整個Webot下發實驗中，除去少量僵尸主機因網絡阻塞原因造成的接收失敗，共計2 915臺僵尸主機在116 s內完成了命令傳遞；相比之下，傳統模式在同樣時間內只下發了323臺僵尸主機。可見Webot的管控效率較傳統模式具有巨大優勢。

4.3 可靠性評估

當Webot擁有高速下發速率的同時，它的傳遞可靠性也同樣保持較高的水平，本文用命令傳達率來評估Webot協議自身傳遞的可靠性。假設每個超級僵尸主機轉發成功率為0.9，這意味著每一個后續節點有0.9的概率能正確接收到命令。參數代表轉發路徑的深度。All代表僵尸主機總數，Received代表成功接收到指令的數，Webot的命令傳達率為

如圖8所示，轉發數分別設為10、20、50，在同等條件下進行模擬實驗，同等規模下值越大，層數越小，傳達率越高。選取為50，模擬100 000臺的大規模管控場景，當Webot采用不重傳策略時，其全網一次性傳達率為73.11%；通過感知全網下發情況，對未到達節點進行2次下發，其全網信息傳達率可達93.10%，累計下發耗時約750 s。

圖8 Webot命令傳達率評估

4.4 抗毀能力評估

本文采用Li等[18]提出的評估方法，隨機去除一定數量主機后觀察剩余主機的命令可達情況，即最大剩余可達率（如式（3）所示）。對比隨機網絡模型、小世界網絡模型以及Webot模型三者的抗毀能力。

實驗選取的隨機網絡模型其平均鄰居節點數為2，小世界網絡模型的平均鄰居節點數設為4，在同等10 000臺規模下進行測試。如圖9所示，Webot的抗毀能力明顯優于隨機網絡模型。當移除數小于約2 500臺時，Webot的最大剩余可達率略低于小世界網絡模型。隨著移除數的進一步增加，小世界網絡模型的連通性能下降明顯，而Webot的下降較為平穩，仍能保持一定的可達率。除此之外，Webot信道具有易恢復和可重構特性，因此，認為該模型具有較好的健壯性。

圖9 3種模型的最大剩余可達率對比

4.5 功能評估

Webot信道模型兼容傳統Webshell的管控功能，具備傳統文件上傳、數據庫管理等基本功能。此外，控制者可利用Webot實現其他復雜的惡意攻擊。

1) DDoS。利用Webot高效和協同特性，控制者可以在短時間內集結全網僵尸主機實施持續化的DDoS攻擊，由于Web服務器資源往往具有高帶寬性能，通常認為該類僵尸網絡較傳統PC僵尸網絡破壞性更強。本文通過網絡靶場中60臺志愿者主機對Webot的DDoS能力進行實際測試，如圖10所示，DDoS最高峰值可達6 755 kbit/s，同等條件下，1×105臺規模DDoS峰值流量理論上可達10.73 Gbit/s。

2) 網絡空間探測。利用分布的IP和計算資源，結合主控端的統一調度，Webot可用于全球網絡空間設備探測，有效解決了探測過程中IP遭遇封鎖的問題。

3) 釣魚攻擊。Webot掌握了豐富的合法域名資源，通過篡改頁面的方式，攻擊者可實施持續性的釣魚攻擊。

4) 黑帽搜索引擎優化。根據Wang等[19]的研究顯示，小規模、低流失率的黑帽搜索引擎優化（Black Hat search engine optimization）僵尸網絡可對谷歌搜索結果進行毒化，實現惡意內容推廣，為攻擊者牟取巨額利益。Webot同樣可以實現該功能。

5 防御分析

5.1 傳統防御方法缺陷

傳統僵尸網絡的防御方法包括Sybil 攻擊、Sinkhole攻擊[20]、劫持以及爬取攻擊等，通過這些方法防御人員可以對僵尸網絡進行測量、干擾和關閉。本文提出的Webot可以有效抵御這些常規方法。

Sybil攻擊。Sybil攻擊對于Webot的效果十分有限。一方面，在面向大規模僵尸網絡的對抗中，由于每個節點所知曉的僵尸主機數有限，防御人員依靠少量Sybil節點很難測量整體的活躍數和規模數；另一方面，即使Sybil節點拒絕將消息轉發給后續節點，企圖切斷命令傳遞通道，控制者仍可迅速發現該異常，對未接收消息的主機實行二次下發，同時將Sybil節點從超級僵尸主機列表中剔除。

Sinkhole攻擊。通過前期滲透植入，控制者掌握了全網僵尸主機信息，通過主動推送方式將C&C資源告知全網僵尸主機。該類資源可靈活更替且實現成本小，防御人員難以提前預測并控制這些資源。此外，Tor網絡能有效保護onion域名解析過程的安全。因此，Sinkhole手段對于Webot而言幾乎無效。

劫持。同其他僵尸網絡類似，Webot采用非對稱加密算法和時間窗機制來校驗命令的有效性，防止命令欺騙和重放攻擊，理論上防御人員無法劫持該僵尸網絡。

爬取攻擊。安全人員試圖通過爬取的方式發掘僵尸網絡的拓撲信息。在Webot模型中，他們可能利用捕獲的僵尸主機重復發送請求來獲取大量主機信息。然而，在僵尸主機訪問C&C服務器過程中，服務器的驗證機制首先會檢查bot和的有效性。防御人員通過逆向分析事先獲取了合法的bot，如果缺少合法將無法通過驗證。即使利用對通信內容破解，掌握了一次性會話密鑰，也只允許獲得一次主機信息，再次提交將會被拒絕。除非能夠繞過信譽評估機制并控制大量超級僵尸主機資源，否則，該種攻擊效果是有限的。

5.2 Webot防御手段

針對Webot的實現機理，本文介紹4種有效的防御手段。首先，匿名網絡的自身缺陷可導致僵尸網絡被測量和去匿名化；其次，防御人員可通過滲透手段對僵尸網絡惡意行為進行實時監控；第三，可對通信過程中的代理節點實施分布式拒絕服務攻擊；最后，防御人員需要建立一個國際性的合作渠道來識別、追蹤和防御Webot。

利用匿名網絡漏洞。如果Webot所使用的匿名網絡存在可被利用的漏洞，這將影響Webot的整體健壯性和匿名性。以Tor網絡為例，安全防御人員可通過控制hidden service的guard node來進行流量的聚合分析[21]，揭示C&C服務器的真實IP。

滲透監控。由于僵尸主機均需要訪問C&C服務器來獲取完整代碼和指令，對于Webot而言，安全人員控制少量僵尸主機實施隱蔽的滲透攻擊是無法避免的。該方法可持續追蹤分析僵尸網絡的活動。

代理節點拒絕服務攻擊。在C&C通信過程中，防御人員對代理節點進行拒絕服務攻擊，可干擾僵尸網絡的命令傳遞，延長全網命令傳達時間，降低其協同攻擊的效果。

構建國際合作機制。Webot的實現需要匿名網絡和虛擬主機提供服務，防御人員應該努力提高公共可用服務的安全性，避免這些服務被惡意利用。同時應該建立一個包含安全研究機構、CERT以及ISP在內的協作渠道來共同打擊此類僵尸網絡犯罪。

6 結束語

本文設計了一種基于Webshell的樹狀拓撲結構僵尸網絡模型并實現了其原型系統Webot。該僵尸網絡可面向大量脆弱Web服務和應用構建，具有良好普適性。基于匿名網絡保護，結合主機信譽評估機制，防御人員難以追蹤；命令傳遞采用主動下發，不依賴固定且脆弱集合點，信道難以被關閉。本地仿真實驗證明了Webot模型具有良好的效率及健壯性，代表了未來僵尸網絡的發展趨勢，預計類似的實際案例將會在不久的將來出現。在下一步工作中，將針對該類型的僵尸網絡進行深入研究，尋找快速有效的檢測方法。

[1] CUI X, FANG B X, et al. Botnet triple-channel model: towards resilient and efficient bidirectional communication botnets[M]//Security and Privacy in Communication Networks. Springer International Publishing, 2013.

[2] SHAHID K, et al. A taxonomy of botnet behavior, detection, and defense[J]. Communications Surveys & Tutorials, IEEE 2015, 16(2): 898-924.

[3] HEILMAN E, KENDLER A, ZOHAR A, et al. Eclipse attacks on Bitcoin’s peer-to-peer network[C]//24th USENIX Security Symposium (USENIX Security 15). c2015: 129-144.

[4] CANALI D, BALZAROTTI D. Behind the scenes of online attacks: an analysis of exploitation behaviors on the Web[C]//20th Annual Network & Distributed System Security Symposium (NDSS 2013). c2013.

[5] Netcraft. Web server survey[EB/OL]. http://news. netcraft.com/ archives/2015/11/16/november-2015-web-server-survey.html.

[6] Symantec. 2015 Internet security threat report [EB/OL]. https:// www.symantec.com/security_response/publications/threatreport. jsp.

[7] F-Secure. Backdoor: Osx/tsunami[EB/OL]. https://www. f-secure. com/v-descs/backdoor_osx_tsunami_a.shtml.

[8] New bot malware (BoSSaBoTv2) attacking Web servers discovered[EB/OL]. https://www.trustwave.com/ Resources/SpiderLabs-Blog/- Honeypot-Alert--New-Bot-Malware-(BoSSaBoTv2)-Attacking-Web- Servers-Discovered/.

[9] WANG P, SPARKS S, ZOU C C. An advanced hybrid peer-to-peer botnet[J]. IEEE Transactions on Dependable and Secure Computing, 2010, 7(2): 113-127.

[10] STARNBERGER G, KRUEGEL C, KIRDA E. Overbot: a botnet protocol based on Kademlia[C]//The 4th International Conference on Security and Privacy in Communication Networks. ACM, c2008.

[11] HUND R, HAMANN M, HOLZ T. Towards next-generation botnets[C]// European Conference on Computer Network Defense. IEEE, c2008: 33-40.

[12] DOUCEUR J R. The sybil attackpeer-to-peer systems[M]//Springer Berlin Heidelberg, 2002: 251-260.

[13] SINGH K, SRIVASTAVA A, GIFFIN J, et al. Evaluating email’s feasibility for botnet command and control[C]// IEEE International Conference on Dependable Systems and Networks With FTCS and DCC, IEEE, 2008: 376-385.

[14] XU K, BUTLER P, SAHA S, et al. DNS for massive-scale command and control[J]. IEEE Transactions on Dependable and Secure Computing, 2013, 10(3): 143-153.

[15] CUI X, FNAG B X, et al. Andbot: towards advanced mobile botnets[C]//Proceedings of the 4th USENIX Conference on Large-Scale Exploits and Emergent Threats. USENIX Association, c2011: 11-11.

[16] LEE S, KIM J. Fluxing botnet command and control channels with URL shortening services[J]. Computer Communications, 2013, 36(3): 320-332.

[17] SANATINIA A, NOUBIR G. OnionBots: subverting privacy infrastructure for cyber attacks[C]//Dependable Systems and Networks (DSN), c2015: 69-80.

[18] LI J, EHRENKRANZ T, KUENNING G, et al. Simulation and analysis on the resiliency and efficiency of malnets[C]//Principles of Advanced and Distributed Simulation. IEEE, c2005: 262-269.

[19] WANG D Y, SAVAGE S, VOELKER G M. Juice: a longitudinal study of an SEO botnet[C]//The NDSS Symposium. c2013.

[20] STONE-GROSS B, COVA M, CAVALLARO L, et al. Your botnet is my botnet: analysis of a botnet takeover[C]//The 16th ACM Conference on Computer and Communications Security. ACM, c2009: 635-647.

[21] BIRYUKOV A, PUSTOGAROV I, WEINMANN R. Trawling for tor hidden services: detection, measurement, deanonymization[C]// 2013 IEEE Symposium on Security and Privacy (SP). c2013: 80-94.

Research on Webshell-based botnet

LI Ke1,2, FANG Bin-xing1, CUI Xiang1,2, LIU Qi-xu2, YAN Zhi-tao2

(1. School of Comput er, Beijing University of Posts and Telecommunications, Beijing 100876, China; 2. Institute of Information Engineering, Chinese Academy of Sciences, Beijing 100093, China)

With the rapid rising of Web server-based botnets, traditional channel models were unable to predict threats from them. Based on improving traditional Webshell control method, a command and control channel model based on tree structure was proposed. The model was widely applicable and stealthy and the simulation experimental results show it can achieve rapid and reliable commands delivery. After summarizing the limitations of current defenses against the proposed model, the model’s inherent vulnerabilities is analyzed and feasible defense strategies are put forward.

botnet, command and control, channel prediction, Webshell

TP309.5

A

10.11959/j.issn.1000-436x.2016118

2015-12-15；

2016-03-08

國家自然科學基金資助項目（No.61303239）；國家高技術研究發展計劃（“863”計劃）基金資助項目（No.2012AA012902）

The National Natural Science Foundation of China (No.61303239), The National High Technology Research and Development Program (863 Program)(No.2012AA012902)

李可（1988-），男，湖南益陽人，北京郵電大學博士生，主要研究方向為網絡安全。

方濱興（1960-），男，江西萬年人，中國工程院院士，北京郵電大學教授、博士生導師，主要研究方向為計算機體系結構、計算機網絡與信息安全。

崔翔（1978-），男，黑龍江訥河人，博士，中國科學院信息工程研究所研究員，主要研究方向為網絡安全。

劉奇旭（1984-），男，江蘇徐州人，博士，中國科學院信息工程研究所副研究員，主要研究方向為網絡空間安全評測。

嚴志濤（1991-），男，浙江臨海人，中國科學院信息工程研究所碩士生，主要研究方向為網絡安全。