一種隱蔽的Botnet命令控制信息傳送方法

郭曉軍

（1.西藏民族大學(xué) 信息工程學(xué)院，陜西 咸陽(yáng) 712082;2.西藏光信息處理與可視化技術(shù)重點(diǎn)實(shí)驗(yàn)室，陜西 咸陽(yáng) 712082）

一種隱蔽的Botnet命令控制信息傳送方法

郭曉軍1,2

（1.西藏民族大學(xué) 信息工程學(xué)院，陜西 咸陽(yáng) 712082;2.西藏光信息處理與可視化技術(shù)重點(diǎn)實(shí)驗(yàn)室，陜西 咸陽(yáng) 712082）

命令控制信息的安全傳送是僵尸網(wǎng)絡(luò)（Botnet）正常發(fā)揮作用的關(guān)鍵所在。針對(duì)Botnet命令控制信息的隱蔽傳送問(wèn)題，文章提出一種基于Web頁(yè)面信息隱藏的命令控制信息傳送方法，可分為命令控制信息轉(zhuǎn)換、嵌入、發(fā)送與恢復(fù)等部分，并對(duì)每部分進(jìn)行了較為詳細(xì)的描述。

僵尸網(wǎng)絡(luò)；命令控制信息；Web頁(yè)面信息隱藏

近年來(lái)，僵尸網(wǎng)絡(luò)（Botnet）已成為互聯(lián)網(wǎng)安全所面臨的最大威脅之一[1]。根據(jù)國(guó)內(nèi)外已有相關(guān)研究文獻(xiàn)，Botnet可被定義為利用特制惡意代碼感染計(jì)算機(jī)、智能手機(jī)等終端設(shè)備，將這些設(shè)備變?yōu)榭杀豢刂频墓?jié)點(diǎn)Bot，且僵尸網(wǎng)絡(luò)控制者通過(guò)命令與控制服務(wù)器發(fā)布命令控制（Command and Control，C&C）信息來(lái)管理這些Bot，當(dāng)這些Bot收到僵尸網(wǎng)絡(luò)控制者發(fā)布的命令控制信息后，可對(duì)指定目標(biāo)進(jìn)行隱私信息竊取，大規(guī)模DDoS攻擊、反射放大攻擊、網(wǎng)絡(luò)釣魚(yú)欺騙、垃圾郵件發(fā)送等惡意行為[2]。

可見(jiàn)，C&C信息準(zhǔn)確無(wú)誤地傳遞給Bot節(jié)點(diǎn)對(duì)僵尸網(wǎng)絡(luò)的穩(wěn)定運(yùn)行與功能發(fā)揮起著非常關(guān)鍵的作用。Bot只有在正確接收和執(zhí)行這些C&C信息后，才能實(shí)現(xiàn)僵尸網(wǎng)絡(luò)控制者的攻擊意圖，從而造成實(shí)質(zhì)性的威脅與破壞。從目前已有研究工作來(lái)看，僵尸網(wǎng)絡(luò)的C&C信息傳送方式大致可分為兩類：（1）直接將C&C信息以明文的方式作為傳輸層協(xié)議（如UDP，TCP等）或應(yīng)用層協(xié)議（如HTTP，IRC等）的數(shù)據(jù)載荷進(jìn)行傳送，但此種方法容易被難深度包分析技術(shù)檢測(cè)，從而會(huì)輕易地識(shí)別出所傳送的C&C信息，隱蔽性較差；（2）將C&C信息采用某種加密算法（如對(duì)稱加密算法等）進(jìn)行加密形成密文，然后將該密文傳送給Bot，Bot從該密文解密出C&C信息并進(jìn)行執(zhí)行，雖然該方式與明文傳送方式相比，提高了C&C傳送的隱蔽性，但該方法增加了僵尸代碼的設(shè)計(jì)復(fù)雜度與Bot節(jié)點(diǎn)的時(shí)空開(kāi)銷，所產(chǎn)生的加密網(wǎng)絡(luò)流量也容易引起網(wǎng)絡(luò)監(jiān)管者的警覺(jué)，增大了本地Bot被暴露的可能性。

鑒于上述兩種方法的缺點(diǎn)，本文在綜合考慮C&C信息傳送過(guò)程的安全性，且僵尸節(jié)點(diǎn)Bot在處理C&C信息過(guò)程保持較低時(shí)空開(kāi)銷等問(wèn)題基礎(chǔ)上，提出一種基于網(wǎng)頁(yè)信息隱藏的C&C信息傳送方法CTWH，該方法通過(guò)簡(jiǎn)單變換將C&C信息轉(zhuǎn)換為二進(jìn)制編碼串形式，然后再通過(guò)Web頁(yè)面信息隱藏方法，將該二進(jìn)制編碼串嵌入在載體Web頁(yè)面的HTML代碼中，并通過(guò)網(wǎng)絡(luò)進(jìn)行發(fā)送，Bot節(jié)點(diǎn)在接收到攜帶C&C信息載體Web頁(yè)面后，提取出二進(jìn)制編碼串并進(jìn)行解碼，以恢復(fù)出C&C信息，有效增強(qiáng)了C&C信息傳送過(guò)程的隱蔽性。

1 CTWH方法過(guò)程

CTWH方法可分為3部分：C&C信息轉(zhuǎn)換，C&C信息嵌入，C&C信息發(fā)送與恢復(fù)。

1.1 C&C信息轉(zhuǎn)換

C&C信息是指僵尸網(wǎng)絡(luò)控制者通過(guò)C&C服務(wù)器發(fā)送給多個(gè)Bot的DDoS攻擊、目標(biāo)掃描與嗅探、垃圾郵件發(fā)送、惡意代碼升級(jí)更新等指令[3]。其形式多采用類似Linux命令方式發(fā)送給Bot，即“命令+選項(xiàng)+參數(shù)”的格式，如命令“ddos.syn 10.1.0.16 80”是對(duì)目標(biāo)10.1.0.16的80端口進(jìn)行syn泛洪攻擊，可見(jiàn)C&C信息基本有可見(jiàn)的ASCII碼構(gòu)成。C&C信息轉(zhuǎn)換是指將C&C信息中的字符根據(jù)ASCII表轉(zhuǎn)換成對(duì)應(yīng)的二進(jìn)制編碼形式。設(shè)CMD表示一條C&C信息，CMD=c1c2……cn，該過(guò)程可用式（1）表示：

其中，ci表示C&C信息的一個(gè)字符，ASI(ci)表示取字符ci在ASCII中對(duì)應(yīng)的二進(jìn)制值。S表示轉(zhuǎn)換后的二進(jìn)制編碼串，且其長(zhǎng)度為|S|=8n。

1.2 C&C信息嵌入

為提高C&C信息傳送過(guò)程的隱蔽性，當(dāng)C&C信息CMD轉(zhuǎn)換為二進(jìn)制編碼串S后，本文以常見(jiàn)Web頁(yè)面的HTML代碼為載體，采用信息隱藏技術(shù)將S嵌入在該HTML的行尾，以完成CMD的隱藏。具體過(guò)程如圖1所示。

圖1 C&C信息嵌入流程

其中，函數(shù)Insert()作用是將二進(jìn)制值嵌入在載體Web頁(yè)面HTML代碼的行尾部，此處可通過(guò)在尾部插入不可見(jiàn)字符來(lái)實(shí)現(xiàn)[4]，例如，Insert()函數(shù)可通過(guò)嵌入“空格（0x20）”來(lái)表示“0”，“制表符（0x09）”來(lái)表示“1”，對(duì)于“0110”，Insert()可在HTML代碼的行尾插入表示為“0x20090920”來(lái)表示。此外，此處所使用的載體Web頁(yè)面可由僵尸網(wǎng)絡(luò)控制者自由產(chǎn)生。

1.3 C&C信息發(fā)送與恢復(fù)

C&C信息發(fā)送是指命令控制服務(wù)器節(jié)點(diǎn)將攜帶CMD的載體Web頁(yè)面通過(guò)網(wǎng)絡(luò)發(fā)送給所有Bot。此過(guò)程可通過(guò)僵尸網(wǎng)絡(luò)控制者攻陷的Web服務(wù)器或自己搭建的隱蔽Web服務(wù)器來(lái)進(jìn)行發(fā)送。C&C信息恢復(fù)是指Bot節(jié)點(diǎn)接收到攜帶CMD的載體Web頁(yè)面后，從中提取出所隱藏的二進(jìn)制編碼串，然后還原出CMD的過(guò)程。該過(guò)程首先采用與C&C信息嵌入過(guò)程的逆操作從載體Web頁(yè)面中提取出si，然后再通過(guò)與C&C信息嵌入過(guò)程的逆過(guò)程還原出CMD。至此，Bot就可執(zhí)行該CMD對(duì)應(yīng)的功能。

2 結(jié)語(yǔ)

如何保證命令控制信息的隱蔽傳送，是僵尸網(wǎng)絡(luò)正常運(yùn)行所應(yīng)解決的關(guān)鍵問(wèn)題。本文給出的利用Web頁(yè)面隱藏C&C信息并進(jìn)行傳送的方法，既可保證傳送過(guò)程的隱蔽性，還能降低僵尸代碼設(shè)計(jì)與實(shí)現(xiàn)的復(fù)雜性，為該問(wèn)題提供了一種可參考的解決思路。

[1]ChEN P，DESMET L，HUYGENS C. A study on advanced persistent threats[C].Aveiro：The 15th IFIP TC 6/TC 11 International Conference on Communications and Multimedia Security，2014.

[2]RAFAEL ARG，GABRIEL MF，PEDRO GT. Survey and taxonomy of botnet research through life-cycle[J]. ACM Computing Surveys，2013（4）：1-33.

[3]The Honeynet Project. Appendix A：Botnet commands-which commands the bots understand[EB/OL].（2012-11-01）[2017-07-25].https：//www.honeynet.org/node/55.

[4]ZHAO QJ，LU HT，JIANG XH. Webpage watermarking for tamper-proof[J].Journal of Shanghai Jiaotong University，2005（3）：280-284.

A covert Botnet command and control information transmission method

Guo Xiaojun1,2
（1. Information Engineering School ofXizang Minzu University, Xianyang 712082, China;2. Xizang Key Laboratory of Optical Information Processing and Visualization Technology, Xianyang 712082, China）

The safe transmission of command and control（C&C）information is the key to the normal functioning of Botnet. Aiming at the hidden transmission problem of Botnet C&C information, a C&C information transmission method based on Web page information hiding is proposed in this paper. It can be divided into C&C information conversion, embedding, transmission and recovering and other parts, and each part of a more detailed description.

Botnet; command and control information; Web page information hiding

西藏自治區(qū)高校青年教師創(chuàng)新支持計(jì)劃；項(xiàng)目編號(hào)：QCZ2016-41。西藏民族大學(xué)青年學(xué)人培育計(jì)劃資助項(xiàng)目，項(xiàng)目編號(hào)：17MDQP05。西藏民族大學(xué)2016年教學(xué)改革與研究課題；項(xiàng)目編號(hào)：2016310。藏區(qū)網(wǎng)絡(luò)空間安全與輿情智能監(jiān)管科研創(chuàng)新團(tuán)隊(duì)建設(shè)項(xiàng)目；項(xiàng)目編號(hào)：2000301040025。

郭曉軍（1983— ），男，山西長(zhǎng)治。