社交僵尸網(wǎng)絡(luò)發(fā)展綜述

2022-08-12 02:29:18鄒福泰郭萬達(dá)李林森

計算機(jī)工程 2022年8期

葛昕，鄒福泰，郭萬達(dá)，譚越，李林森

（1.上海理工大學(xué) 信息化辦公室，上海 200093；2.上海交通大學(xué) 電子信息與電氣工程學(xué)院，上海 200240）

0 概述

社交網(wǎng)絡(luò)為人們提供了模擬現(xiàn)實生活的社交平臺，已成為現(xiàn)代社會建立社會關(guān)系的重要方式。近年來，世界各國主要的網(wǎng)絡(luò)社交平臺用戶數(shù)量不斷提升，以我國的新浪微博平臺為例，截至2017 年9 月，微博單月內(nèi)活躍用戶數(shù)量接近4 億，單日內(nèi)的活躍用戶近2 億。微博具有用戶數(shù)量大、消息傳播速度快等特點，已成為人們討論新聞、分享觀點的重要平臺之一。文獻(xiàn)［1］研究了即時信息對微博熱點新聞進(jìn)行情感分類的方法，分析不同人對于相同事件的態(tài)度。這類研究針對的是現(xiàn)有社交平臺的熱點問題，具備很高的社會價值。

隨著社交網(wǎng)絡(luò)的流行與大量用戶的涌入，社交網(wǎng)絡(luò)集中儲存了大量的用戶個人信息，這些信息包含用戶的郵箱、電話號碼、興趣愛好、家庭住址等用戶的隱私信息。此外，攻擊者發(fā)現(xiàn)社交網(wǎng)絡(luò)中的部分用戶安全意識匱乏，且基于用戶信任即可建立好友關(guān)系和互相訪問對方的信息。近年來，社交網(wǎng)絡(luò)的這些特性開始被攻擊者利用，社交僵尸網(wǎng)絡(luò)應(yīng)運而生。攻擊者通過社交僵尸賬號添加用戶好友，收集用戶信息，給用戶的賬戶安全造成危害。社交網(wǎng)絡(luò)迅猛發(fā)展的勢頭助長了社交僵尸網(wǎng)絡(luò)的擴(kuò)散，使其成為互聯(lián)網(wǎng)的一種新的威脅。社交僵尸網(wǎng)絡(luò)具有如下的特征：隱蔽性強(qiáng)，社交網(wǎng)絡(luò)用戶數(shù)量大，用戶數(shù)據(jù)較為分散，在海量的正常流量中，僵尸網(wǎng)絡(luò)產(chǎn)生的流量可以輕松地隱藏自身；傳播難度低，人們在社交網(wǎng)絡(luò)平臺上傾向于根據(jù)較為主觀的個人偏好對用戶進(jìn)行分組，這使得社交僵尸網(wǎng)絡(luò)能夠更加方便地擴(kuò)大傳播范圍和竊取隱私數(shù)據(jù)，同時可以利用其在網(wǎng)絡(luò)中全新的定位傳播錯誤信息，試圖引導(dǎo)公眾輿論；危害性大，社交網(wǎng)絡(luò)平臺自身的開放性使得社交僵尸網(wǎng)絡(luò)可以在平臺上發(fā)布和部署具有欺騙性的內(nèi)容和鏈接，誘使用戶對其進(jìn)行操作，從而向用戶植入惡意代碼，最終實現(xiàn)對用戶主機(jī)的控制，達(dá)到其惡意目的；持久性，因為社交網(wǎng)絡(luò)平臺的生命周期很長，其中隱藏的社交僵尸網(wǎng)絡(luò)又很難被檢測到，所以社交僵尸網(wǎng)絡(luò)可以在社交平臺上長期地存在且不被發(fā)現(xiàn)。

在社交僵尸網(wǎng)絡(luò)的發(fā)展過程中，越來越多的網(wǎng)絡(luò)安全技術(shù)開始被運用。早期的社交僵尸網(wǎng)絡(luò)普遍使用明文進(jìn)行傳播，較易檢測；隨后出現(xiàn)了多種多樣復(fù)雜的、更為隱蔽的社交僵尸網(wǎng)絡(luò)，如基于圖像隱寫技術(shù)的Stegobot 社交僵尸網(wǎng)絡(luò)［2］、基于網(wǎng)頁標(biāo)簽屬性域隱蔽的DR-SNbot［3］、基于推文長度的隱寫技術(shù)的Twitter 社交僵尸網(wǎng)絡(luò)［4］等。由于運用了最新的技術(shù)實現(xiàn)了很高的隱蔽性，這些僵尸網(wǎng)絡(luò)的檢測難度往往都很大，危害性相比傳統(tǒng)僵尸網(wǎng)絡(luò)也更大。

綜上所述，社交僵尸網(wǎng)絡(luò)對社交平臺有極大的破壞性，同時也危害著用戶的個人信息安全與系統(tǒng)安全。因此，研究社交僵尸網(wǎng)絡(luò)的通信方式、攻擊原理和技術(shù)，以及相應(yīng)的防護(hù)、接管與反制方案十分重要，具有很高的經(jīng)濟(jì)社會價值。

本文從社交僵尸網(wǎng)絡(luò)安全威脅的根源著手，研究社交僵尸網(wǎng)絡(luò)的通信原理和運轉(zhuǎn)方式及表現(xiàn)出的群體特征與隱蔽手段，為社交網(wǎng)絡(luò)的安全防護(hù)，尤其是針對運用新技術(shù)的社交僵尸網(wǎng)絡(luò)的檢測與防護(hù)，提供相關(guān)的理論和技術(shù)支持。介紹僵尸網(wǎng)絡(luò)的概念、發(fā)展現(xiàn)狀與趨勢以及社交僵尸網(wǎng)絡(luò)的概念與發(fā)展現(xiàn)狀，并分析現(xiàn)有社交僵尸網(wǎng)絡(luò)的工作機(jī)制，對新型的社交僵尸網(wǎng)絡(luò)——隱蔽型僵尸網(wǎng)絡(luò)的兩類檢測方法以及基于機(jī)器學(xué)習(xí)的社交僵尸網(wǎng)絡(luò)檢測方法進(jìn)行分析，給出社交僵尸網(wǎng)絡(luò)反制與接管的發(fā)展思路。在此基礎(chǔ)上，對比分析不同社交僵尸網(wǎng)絡(luò)檢測方法的優(yōu)缺點，并對未來社交僵尸網(wǎng)絡(luò)領(lǐng)域的研究方向進(jìn)行展望。

1 僵尸網(wǎng)絡(luò)

1.1 僵尸網(wǎng)絡(luò)概念

僵尸網(wǎng)絡(luò)（Botnet）是由命令控制信道技術(shù)搭建的具有惡意目的的網(wǎng)絡(luò)［5］。攻擊者往往利用僵尸網(wǎng)絡(luò)來傳播僵尸程序，達(dá)到控制大量受害者主機(jī)的目的。其中，“攻擊者”是指能夠控制僵尸主機(jī)的控制器（Botmaster）。攻擊者可以通過一對多的方式高效地控制大量的受害主機(jī)發(fā)起DDoS 攻擊、發(fā)送垃圾郵件、傳播惡意代碼、進(jìn)行點擊欺詐以及竊取受控主機(jī)敏感信息等。

命令與控制（Command and Control，C&C）信道是僵尸網(wǎng)絡(luò)的主要特征之一。唯有依賴于C&C 信道，攻擊者才能達(dá)到實時驅(qū)動批量僵尸主機(jī)執(zhí)行網(wǎng)絡(luò)攻擊的目的，而控制者能夠?qū)崿F(xiàn)對僵尸主機(jī)狀態(tài)信息及其他數(shù)據(jù)的回收與攻擊策略的實時調(diào)整［6］。根據(jù)C&C 信道的特征不同，傳統(tǒng)的僵尸網(wǎng)絡(luò)被分為基于IRC 協(xié)議的僵尸網(wǎng)絡(luò)、基于HTTP 協(xié)議的僵尸網(wǎng)絡(luò)、基于P2P 結(jié)構(gòu)的僵尸網(wǎng)絡(luò)、基于Fast-flux［7］技術(shù)的僵尸網(wǎng)絡(luò)、基于Domain Flux［8］技術(shù)的僵尸網(wǎng)絡(luò)、基于URL Flux［9］技術(shù)的僵尸網(wǎng)絡(luò)等。

隨著時間的推移，近年來出現(xiàn)了與熱門技術(shù)緊密相關(guān)的僵尸網(wǎng)絡(luò)，例如在物聯(lián)網(wǎng)（Internet of Things，IoT）中控制大量設(shè)備的IoT 僵尸網(wǎng)絡(luò)、基于區(qū)塊鏈技術(shù)通信的僵尸網(wǎng)絡(luò)等。

2016 年，基于IoT 的Mirai 僵尸網(wǎng)絡(luò)控制了接近50 萬臺物聯(lián)網(wǎng)設(shè)備，實現(xiàn)了高達(dá)1.2 Tb/s的網(wǎng)絡(luò)流量的DDoS 攻擊［10］。此后，物聯(lián)網(wǎng)中的DDoS 攻擊開始成為研究人員的關(guān)注對象［11］。近十年來，研究人員或是在Mirai僵尸網(wǎng)絡(luò)的基礎(chǔ)上進(jìn)行改進(jìn)，或是設(shè)計出更加難以實施防護(hù)的IoT 僵尸網(wǎng)絡(luò)。例如文獻(xiàn)［12］介紹了Linux Wifatch 僵尸網(wǎng)絡(luò)。這種IoT 僵尸網(wǎng)絡(luò)主要針對感染采用默認(rèn)用戶名密碼登錄或使用弱密碼的IoT 設(shè)備設(shè)計，在感染后Wifatch 使用P2P 網(wǎng)絡(luò)，刪除主機(jī)上的其他惡意軟件，關(guān)閉該主機(jī)的Telnet 連接，并在設(shè)備日志中記錄Telnet 關(guān)閉的信息。另一種新型的僵尸網(wǎng)絡(luò)是Linux/IRCTelent，它針對支持IPv6 的物聯(lián)網(wǎng)設(shè)備設(shè)計，結(jié)合了Telnet 暴力破解、代碼注入、用戶名/密碼表等多種技術(shù)，實現(xiàn)對目標(biāo)主機(jī)的感染和基于IPv4、IPv6協(xié)議的泛洪攻擊。

區(qū)塊鏈技術(shù)的發(fā)展導(dǎo)致了數(shù)字加密貨幣的流行，比特幣則是數(shù)字加密貨幣的代表。區(qū)塊鏈具有去中心化、不可篡改性、匿名性等特性，這些特性不僅使其可以作為網(wǎng)絡(luò)安全防護(hù)方案的核心技術(shù)，也引起了黑客的注意。黑客開始將比特幣引入僵尸網(wǎng)絡(luò)的C&C 通信，借助其特性使得現(xiàn)有的僵尸網(wǎng)絡(luò)檢測方法失效，大幅提升了僵尸網(wǎng)絡(luò)的隱蔽性。文獻(xiàn)［13］介紹一種基于比特幣的ZombieCoin 僵尸網(wǎng)絡(luò)，這種僵尸網(wǎng)絡(luò)采用比特幣的數(shù)字簽名來隱藏C&C 控制信息，從而增加了其檢測難度。文獻(xiàn)［14］介紹的比特幣僵尸網(wǎng)絡(luò)Testnet，并提出一種實現(xiàn)僵尸網(wǎng)絡(luò)控制器與僵尸主機(jī)之間雙向加密通信的僵尸網(wǎng)絡(luò)。

1.2 僵尸網(wǎng)絡(luò)發(fā)展趨勢

隨著新技術(shù)的不斷出現(xiàn)，僵尸網(wǎng)絡(luò)的傳播能力與隱蔽性在逐漸增強(qiáng)，同時網(wǎng)絡(luò)攻擊者開始在不同的平臺上部署僵尸網(wǎng)絡(luò)（如前文所述的出現(xiàn)在物聯(lián)網(wǎng)上的IoT 僵尸網(wǎng)絡(luò)以及出現(xiàn)在社交平臺上的社交僵尸網(wǎng)絡(luò)）。由此可見，僵尸網(wǎng)絡(luò)帶來的網(wǎng)絡(luò)安全威脅在不斷增加。對于這類安全威脅的防范，潛在的研究不僅在于對僵尸網(wǎng)絡(luò)的檢測，還包括如何對僵尸網(wǎng)絡(luò)進(jìn)行反制，降低其傳播速度與危害性。

2 社交僵尸網(wǎng)絡(luò)

基于社交網(wǎng)絡(luò)的僵尸網(wǎng)絡(luò)與傳統(tǒng)的僵尸網(wǎng)絡(luò)有著較大的區(qū)別：在傳統(tǒng)的僵尸網(wǎng)絡(luò)中，被控制的節(jié)點不是控制者擁有的主機(jī)，而是存在于網(wǎng)絡(luò)上的其他用戶的主機(jī)。而在社交僵尸網(wǎng)絡(luò)中，被控制的節(jié)點是攻擊者自行創(chuàng)建的社交賬號，攻擊者利用僵尸程序控制這些賬號執(zhí)行一些極其類似真實用戶的行為來模擬真實賬號，該過程如圖1 所示。

圖1 社交僵尸網(wǎng)絡(luò)概念示意圖Fig.1 Schematic diagram of social botnet concepts

上述差別導(dǎo)致了社交僵尸網(wǎng)絡(luò)一般不存在感染其他主機(jī)的惡意代碼，而是通過偽造的URL 來誘導(dǎo)人們點擊下載惡意代碼；社交僵尸網(wǎng)絡(luò)也不存在特殊的通信協(xié)議，因為社交僵尸網(wǎng)絡(luò)中的通信幾乎都是僵尸程序與社交網(wǎng)絡(luò)服務(wù)器之間的基于HTTP 的通信。上述不同導(dǎo)致了兩者的檢測方法的差異性。

2.1 社交僵尸網(wǎng)絡(luò)定義

定義1（社交僵尸）社交僵尸是一種特殊的聊天機(jī)器人，用于社交網(wǎng)絡(luò)自動生成消息或者支持某些想法、活動和公共關(guān)系，收集追隨者信息的虛假賬戶［15］。

定義2（社交僵尸網(wǎng)絡(luò)）社交僵尸網(wǎng)絡(luò)是指在社交網(wǎng)絡(luò)中，攻擊者出于惡意目的，通過一對多控制結(jié)構(gòu)操縱大量的可模擬真實用戶的僵尸賬號形成的受控網(wǎng)絡(luò)［16］。

僵尸賬號是攻擊者通過人工方法或者運用僵尸程序創(chuàng)建的被社交網(wǎng)絡(luò)控制的賬號，僵尸賬號之間不會進(jìn)行通信。僵尸賬號并不只是收集用戶信息，還有許多僵尸賬號利用與真實用戶之間的信任關(guān)系傳播垃圾信息，嚴(yán)重影響社交網(wǎng)絡(luò)安全。

2.2 社交僵尸網(wǎng)絡(luò)惡意行為

社交僵尸網(wǎng)絡(luò)的惡意行為與普通僵尸網(wǎng)絡(luò)惡意行為類似，文獻(xiàn)［17］將社交僵尸網(wǎng)絡(luò)的惡意行為分為三大類：消息散布（Information Dispersion），信息收集（Information Gathering）和信息處理（Information Processing），如圖2 所示。

圖2 社交僵尸網(wǎng)絡(luò)惡意行為的分類Fig.2 Classification of social Botnet malicious behavior

社交僵尸網(wǎng)絡(luò)惡意行為一般有以下5 種形式：

1）污染網(wǎng)絡(luò)環(huán)境。一些僵尸賬號隱藏在真實賬號之下，通過投放廣告賺取點擊量，如傳播色情、反動信息。一些社交僵尸賬號與合法用戶之間確立了信任關(guān)系，以更加難以發(fā)現(xiàn)的方式發(fā)布垃圾信息。

2）引導(dǎo)輿論。當(dāng)一些重大事件發(fā)生時，社交僵尸網(wǎng)絡(luò)通過控制大量社交僵尸賬號集體發(fā)聲制造巨大的網(wǎng)絡(luò)聲浪，引導(dǎo)和控制社會輿論，甚至影響事態(tài)的發(fā)展，這即所謂的社交網(wǎng)絡(luò)水軍。

3）竊取信息。社交僵尸賬號通過與真實的用戶建立相互的信任關(guān)系，通過與真實用戶進(jìn)行互動，收集真實用戶的隱私信息。獲取這些信息后，攻擊者就可以將它們轉(zhuǎn)賣給營銷公司，造成用戶信息泄露，導(dǎo)致用戶收到大量垃圾短信、垃圾郵件、騷擾電話等。

4）惡意植入。通過與真實用戶建立的信任關(guān)系發(fā)布偽造的URL 鏈接。攻擊者可以使用偽造的URL 鏈接進(jìn)行網(wǎng)絡(luò)釣魚、傳播病毒、誘導(dǎo)用戶下載惡意代碼等行為。一些缺乏網(wǎng)絡(luò)安全意識的用戶常會無條件地信任并點擊“朋友”發(fā)布的鏈接，從而遭受惡意攻擊，甚至被盜取賬號、植入主機(jī)病毒等。

5）虛假信息傳播。由于社交網(wǎng)絡(luò)的巨大體量和社交僵尸網(wǎng)絡(luò)強(qiáng)大的消息擴(kuò)散能力，攻擊者可以利用社交網(wǎng)絡(luò)上的僵尸賬號進(jìn)行謠言的傳播。

在國際上已經(jīng)有社交僵尸網(wǎng)絡(luò)的惡意行為這一應(yīng)用的先例：一份針對2010 年美國中期大選的文獻(xiàn)指出了社交僵尸網(wǎng)絡(luò)的濫用影響了大選的最終結(jié)果［18］；2014 年，印度的大選中也被發(fā)現(xiàn)有運用社交僵尸賬號散布對敵對政黨不利的新聞的現(xiàn)象［19］。另外，文獻(xiàn)［20］指出，一些國家的政府利用社交僵尸網(wǎng)絡(luò)來誘導(dǎo)大眾發(fā)表有利于政府的觀點。從國家的層面來講，現(xiàn)代的戰(zhàn)爭形成了認(rèn)知域這一全新的作戰(zhàn)維度，與傳統(tǒng)戰(zhàn)爭中的物理域和信息域共同構(gòu)成了現(xiàn)代戰(zhàn)爭的三大戰(zhàn)場。目前，社交僵尸網(wǎng)絡(luò)的出現(xiàn)吸引了一些組織的注意力，他們開始嘗試將社交僵尸網(wǎng)絡(luò)運用在向敵人散布虛假的消息或者錯誤的消息上，這會給敵人的心理造成一些影響，從而左右戰(zhàn)爭的局勢。因此，雖然還沒有證據(jù)表明社交僵尸網(wǎng)絡(luò)已經(jīng)被運用在現(xiàn)代戰(zhàn)爭中，但是要注意到社交僵尸網(wǎng)絡(luò)的力量及其對戰(zhàn)爭勝負(fù)的影響力。

綜上可見，社交僵尸網(wǎng)絡(luò)帶來的安全威脅是不可小覷的。因此，有必要了解并研究社交僵尸網(wǎng)絡(luò)的攻擊原理與防御方法。

3 社交僵尸網(wǎng)絡(luò)發(fā)展階段

從第一個知名的社交僵尸網(wǎng)絡(luò)Koobface［21］出現(xiàn)至今，其攻擊形態(tài)和攻擊技術(shù)都發(fā)生了巨大的變化，從最初借助社交平臺對C&C 信道進(jìn)行弱加密，到運用隱寫技術(shù)將控制命令隱藏在圖片或文本中進(jìn)行傳播的社交僵尸網(wǎng)絡(luò)，社交僵尸網(wǎng)絡(luò)的隱蔽性越來越強(qiáng)，種類也變得更加繁雜。

3.1 傳統(tǒng)社交僵尸網(wǎng)絡(luò)階段

隨著社交網(wǎng)絡(luò)平臺的發(fā)展，僵尸網(wǎng)絡(luò)被引入社交網(wǎng)絡(luò)中。隨著2010 年第一個成功傳播的社交僵尸網(wǎng)絡(luò)Koobface 的出現(xiàn)，一批以傳統(tǒng)僵尸網(wǎng)絡(luò)技術(shù)為基礎(chǔ)的社交僵尸網(wǎng)絡(luò)大量產(chǎn)生。下面按照社交僵尸網(wǎng)絡(luò)所針對的社交平臺的不同，分別介紹社交僵尸網(wǎng)絡(luò)的發(fā)展演化歷程。

3.1.1 Facebook 上的社交僵尸網(wǎng)絡(luò)

文獻(xiàn)［21］介紹了利用社交網(wǎng)絡(luò)平臺進(jìn)行傳播且獲得成功的僵尸網(wǎng)絡(luò)Koobface，其攻擊目標(biāo)是擁有諸如Facebook、MySpace 等社交網(wǎng)站賬號的個人用戶，目標(biāo)系統(tǒng)為Windows 系列操作系統(tǒng)。攻擊者通過Koobface 可以實現(xiàn)廣告推送、惡意軟件付費安裝、用戶信息竊取，進(jìn)而牟取暴利。Koobface 通過社會工程學(xué)的方式進(jìn)行傳播。具體來講，Koobface 利用社交網(wǎng)絡(luò)平臺發(fā)布惡意視頻鏈接，誘騙用戶點擊并安裝惡意插件從而感染成為僵尸主機(jī)。攻擊者會事先注冊若干blogspot1/bit.ly 賬號，同時準(zhǔn)備好一批被劫持和篡改的網(wǎng)站頁面。準(zhǔn)備完畢后，Koobface 會利用已感染用戶的社交賬號進(jìn)行惡意鏈接的發(fā)布和推送（第1 個階段），該鏈接指向攻擊者準(zhǔn)備的惡意blogspot/bit.ly 鏈接（第2 個階段），當(dāng)用戶點擊訪問社交賬號上發(fā)布的鏈接時首先會跳轉(zhuǎn)到blogspot/bit.ly 中的惡意鏈接，接著blogspot/bit.ly 的鏈接將會把請求重定向到被劫持和篡改的網(wǎng)頁（第3 個階段），通過頁面的JavaScript 腳本再一次將用戶的請求重定向到最終目的地——惡意視頻頁面（第4 個階段）。還有一些研究人員研究了Koobface 僵尸網(wǎng)絡(luò)的傳播及命令控制機(jī)制，并分析了Koobface 的URL 混淆技術(shù)，他們認(rèn)為Koobface 僅對C&C 信道進(jìn)行了弱加密。

文獻(xiàn)［22］介紹了基于Facebook 的社交僵尸網(wǎng)絡(luò)Yazanbot。該社交僵尸程序可以產(chǎn)生分別針對社交網(wǎng)絡(luò)信息傳遞過程和社交關(guān)系管理結(jié)構(gòu)的兩種操作。前者可以對Facebook 上的內(nèi)容進(jìn)行讀、寫等操作；后者則可以產(chǎn)生新的社交關(guān)系圖。僵尸網(wǎng)絡(luò)控制者賬戶可以通過發(fā)布不同的命令，實現(xiàn)與社交僵尸賬戶之間的建立與斷開連接操作。同時，僵尸網(wǎng)絡(luò)控制者賬戶還能夠操縱社交僵尸賬戶的行為，執(zhí)行包括命令僵尸賬戶連接正常的社交賬戶和倉庫內(nèi)的其他賬戶、尋找鄰居賬戶、返回收集到的用戶信息在內(nèi)的操作。Facebook 提供的API 接口和HTTP 請求的模板庫是Yazanbot 工作的主要基礎(chǔ)。

其他以Facebook 為平臺的社交僵尸網(wǎng)絡(luò)還有文獻(xiàn)［23］介紹的Fbbot。Fbbot在隨機(jī)時間登錄Facebook 網(wǎng)站首頁，獲取最新狀態(tài)，解析后得到相關(guān)的命令并進(jìn)行對應(yīng)的操作，最終提供反饋信息。Facebook 上的社交僵尸網(wǎng)絡(luò)多利用Facebook 提供的Facebook Graph API［24］來進(jìn)行大規(guī)模的社交關(guān)系操作，利用社交僵尸程序收集用戶的個人信息。

3.1.2 Twitter 上的社交僵尸網(wǎng)絡(luò)

與Koobface 同期出現(xiàn)的社交僵尸網(wǎng)絡(luò)還有文獻(xiàn)［25］介紹的基于Twitter的僵尸網(wǎng)絡(luò)Nazbot。Nazbot 使用Twitter 上的賬戶名為upd4t3 的僵尸主機(jī)接收命令。Nazbot 首先向upd4t3 的RSS 發(fā)出HTTP GET 請求，Twitter 隨后返回一個以Base64 編碼的文本RSS 提交給Nazbot。然后Nazbot 對該文本進(jìn)行解碼，并從bit.ly 網(wǎng)址獲取真實的URL，該bit.ly URL 重定向到一個獨立服務(wù)器上的惡意文件。隨后Nazbot下載這個惡意文件并將其作為有效載荷解壓并執(zhí)行。最后有效載荷竊取用戶的管理信息，并將收集到的信息返回給botmaster 控制的服務(wù)器。

文獻(xiàn)［26］介紹了以明文發(fā)布命令的基于Twitter的移動僵尸網(wǎng)絡(luò)。ZeroFOX 威脅研究小組對一個名為Siren 的大型僵尸網(wǎng)絡(luò)進(jìn)行了調(diào)查研究［27］，該網(wǎng)絡(luò)利用算法生成的Twitter 賬戶所形成的龐大信息網(wǎng)絡(luò)來發(fā)布有效的URL，該URL 可以重定向到很多包含色情內(nèi)容的網(wǎng)站上。隨后被控制的僵尸賬戶通過直接轉(zhuǎn)發(fā)受害者的推文，來誘使受害者掉入陷阱。

2013 年出現(xiàn)了另一種Twitter 上的社交僵尸網(wǎng)絡(luò)Twitterbot［28］。研究人員使用Twitter 作為僵尸網(wǎng)絡(luò)的C＆C 信道，直接在Twitter 賬戶上發(fā)布僵尸網(wǎng)絡(luò)命令。僵尸程序通過Twitter 網(wǎng)站上的Twitter 消息搜索引擎來獲取命令，并使用OAuth 認(rèn)證機(jī)制和twitter4j API 接口開發(fā)的應(yīng)用程序進(jìn)行通信。Twitterbot 使用關(guān)鍵詞減少了Twitter 消息的可疑度，提高了僵尸網(wǎng)絡(luò)節(jié)點的存活率。

3.1.3 Weibo 上的社交僵尸網(wǎng)絡(luò)

相比于國外的社交僵尸網(wǎng)絡(luò)，我國出現(xiàn)社交僵尸網(wǎng)絡(luò)的時間相對較晚。2017 年，文獻(xiàn)［23］介紹了基于微博平臺的社交僵尸網(wǎng)絡(luò)Wbbot，它通過模擬IE 瀏覽器的行為來訪問微博網(wǎng)站，最終獲取用戶在微博上的個人信息。Wbbot 首先嘗試從微博主頁獲取botmaster的狀態(tài)。隨后僵尸程序檢查控制命令是否被包含在微博的狀態(tài)信息中，以及相關(guān)命令是否已經(jīng)被執(zhí)行。最后僵尸程序會對新的命令進(jìn)行處理和分析，并執(zhí)行相應(yīng)的操作。該社交僵尸網(wǎng)絡(luò)共存在10 個不同的控制命令：6 個主機(jī)上的行動命令用來獲取本地網(wǎng)絡(luò)信息、Windows系統(tǒng)版本、執(zhí)行DoS 命令、迫使IE 瀏覽器打開一個URL、強(qiáng)迫受害者主機(jī)重新綁定域名和IP 等；另外4 個在線社交網(wǎng)絡(luò)活動的命令可以控制感染微博賬戶發(fā)布文本消息、更新狀態(tài)信息、對微博消息進(jìn)行評論、關(guān)注指定賬戶。

其他Weibo 上的社交僵尸網(wǎng)絡(luò)有文獻(xiàn)［3］介紹的DR-SNbot，這種僵尸網(wǎng)絡(luò)基于新浪博客搭建C&C信道，同時將控制命令隱藏在博文中，并將其發(fā)送到多個博客上。文獻(xiàn)［29］介紹的基于P2P 的社交僵尸網(wǎng)絡(luò)，通過匿名網(wǎng)絡(luò)注冊賬戶將加密后的命令釋放到賬戶中。超級節(jié)點根據(jù)P2P 通信機(jī)制，使用相同的微博昵稱生成算法，并主動通過HTTP 請求從微博賬戶中獲取加密命令，增加了防御者跟蹤整個僵尸網(wǎng)絡(luò)的難度，彌補(bǔ)了P2P 僵尸網(wǎng)絡(luò)模型中缺少命令服務(wù)器的問題。表1總結(jié)了現(xiàn)有的社交僵尸網(wǎng)絡(luò)的主要特點。由于微博平臺的API接口控制較為嚴(yán)格，相比于Twitter和Facebook開放程度較低，因此很少有基于微博的社交僵尸網(wǎng)絡(luò)研究，而且現(xiàn)有的基于微博的社交僵尸網(wǎng)絡(luò)的存活時間也相對較短。

表1 不同平臺上的社交僵尸網(wǎng)絡(luò)Table 1 Social Botnets on different platforms

3.2 新型社交僵尸網(wǎng)絡(luò)階段

僵尸網(wǎng)絡(luò)的C&C 信道負(fù)責(zé)傳輸僵尸網(wǎng)絡(luò)的內(nèi)部控制消息，為防止第三方冒充Botmaster 發(fā)布命令或竊聽C&C 通信內(nèi)容，攻擊者通常會在通信過程中引入相關(guān)的加密技術(shù)。然而，由于發(fā)布在社交網(wǎng)絡(luò)上的社交僵尸網(wǎng)絡(luò)命令一般是對用戶公開的明文，因此社交僵尸網(wǎng)絡(luò)的C&C 信道還必須具備較高的隱蔽性，以防止這些惡意消息被發(fā)現(xiàn)，最終導(dǎo)致僵尸網(wǎng)絡(luò)被檢測到并被破壞。為了逃避系統(tǒng)檢測，社交僵尸網(wǎng)絡(luò)開始探索基于信息隱藏技術(shù)的隱蔽通道的使用。隱蔽型社交僵尸網(wǎng)絡(luò)面臨如下幾個主要問題：如何隱蔽地利用人類的社交習(xí)慣，通信的信息如何隱藏，如何更好地逃避檢測。因此，隱寫技術(shù)逐漸被引入到社交僵尸網(wǎng)絡(luò)的設(shè)計與開發(fā)過程中。

隱寫技術(shù)是一門關(guān)于信息隱藏的技術(shù)和科學(xué)，即除預(yù)計的信息接收者外，沒有人會知道信息的傳輸（不僅僅是消息的內(nèi)容）。其中，最常用的隱寫技術(shù)是基于圖像的隱寫技術(shù)。最具有代表性的隱寫技術(shù)是JPEG 隱寫技術(shù)Jsteg［30］，其主要思想是在離散余弦變換系數(shù)最小的位中隱藏數(shù)據(jù)，從而保證無法用肉眼看出隱寫后與隱寫前圖像之間的區(qū)別。其他的圖像隱寫技術(shù)還有YASS［31］、基于模型的MB［32］、Outguess［33］、F5［34］等。其中YASS 隨機(jī)選取8×8 的字塊，將隱寫信息嵌入到該字塊的DCT 系數(shù)中。

3.2.1 基于圖像隱寫技術(shù)的社交僵尸網(wǎng)絡(luò)

文獻(xiàn)［2］介紹了基于圖像隱寫技術(shù)的Stegobot社交僵尸網(wǎng)絡(luò)。Stegobot 使用社交網(wǎng)絡(luò)用戶共享的圖像作為構(gòu)建C&C 通信的通道媒體，采用YASS 圖像隱寫技術(shù)在社交網(wǎng)絡(luò)中建立一個通信的通道，并將其作為社交僵尸網(wǎng)絡(luò)的C&C 信道。Stegobot 的設(shè)計目的是通過社交網(wǎng)絡(luò)，比如電子郵件通信網(wǎng)絡(luò)或允許朋友交換電子郵件的在線社交網(wǎng)絡(luò)來感染用戶。Stegobot 感染大量主機(jī)，并從主機(jī)向Botmaster傳輸盜取的信息。當(dāng)用戶從受感染的主機(jī)上傳圖像到Facebook 時，僵尸會截取圖像，并在發(fā)送到Facebook 前使用YASS 圖像隱寫技術(shù)將僵尸負(fù)載插入到圖像中。當(dāng)Botmaster 準(zhǔn)備發(fā)布命令時，它通過生成一個僵尸負(fù)載消息并將其上傳至它的Facebook賬戶來完成，然而，圖片占用很大的空間將顯著增加僵尸網(wǎng)絡(luò)信道的流量，容易被檢測到。Stegobot 圖像隱寫系統(tǒng)的結(jié)構(gòu)如圖3 所示。

圖3 Stegobot 圖像隱寫系統(tǒng)Fig.3 Stegobot image steganography system

3.2.2 基于文本隱寫技術(shù)的社交僵尸網(wǎng)絡(luò)

文獻(xiàn)［3］介紹的DR-SNbot 包括Botmaster、C&CServer 與Bot 3 個部分。其中僵尸網(wǎng)絡(luò)的控制端是Botmaster部分，這部分用來發(fā)送攻擊命令。C&C-Server是命令控制服務(wù)器，是注冊昵稱對應(yīng)的社交網(wǎng)絡(luò)虛擬主機(jī)。每個C&C-Server 對應(yīng)進(jìn)行一個企業(yè)不同的注冊昵稱，并將命令隱藏在僵尸網(wǎng)絡(luò)日志中發(fā)布。當(dāng)C&C服務(wù)器出現(xiàn)故障時，災(zāi)難恢復(fù)機(jī)器人會發(fā)出預(yù)警，通知攻擊者構(gòu)建新的C&C 服務(wù)器，并自動修復(fù)C&C 通信信道，以確保其強(qiáng)大的抗毀性。Bot 是僵尸程序，通常運行在移動終端上，用于在C&C-Server 上下載命令并解析執(zhí)行這些命令。DR-SNbot 的C&C 信道命令的發(fā)布包括預(yù)處理、信息隱藏、POST、GET、信息提取、后處理6 個步驟。預(yù)處理過程是指Botmaster對命令進(jìn)行加密和簽名，最終形成密文。信息隱藏是指Botmaster 在一個屬性域中隱藏一段密文，隨后在正常日志中插入這個標(biāo)簽。這個被操作的屬性域要擁有特殊的網(wǎng)頁標(biāo)簽。僵尸主機(jī)通過HTTP 的POST 方式將日志上傳到C&C-Server，Bot 通過GET 請求下載該日志，在Bot 日志中尋找與眾不同的網(wǎng)頁標(biāo)簽（如），確定該標(biāo)簽的屬性域，并在提取信息隱藏階段加密得到的密文。最后Bot 驗證Botmaster 產(chǎn)生的數(shù)字簽名，如果該簽名驗證最終是通過的，那么Bot 對該消息進(jìn)行解密，得到對應(yīng)的明文（即命令），如果簽名驗證不通過，Bot 會丟棄這條消息。C&C 信道流程如圖4 所示。