A Defense Mechanism for the Active Spread of Botnet

Botnet is a combination of a variety of unique malware attack techniques. Victims install and execute the botnet malware by themselves, because they have a bad habit of network usage. Even if their computers have been cleared the malware, they are likely to be a bot again in a short time. It explains the passive decoy botnet is difficult to prevent. We will focus on the defense mechanism of active intrusion, and we use dynamic extensible honeypot system to provide a special connection to the server and remove malwares to prevent the active spread of botnet. Keyword:Bot、Botnet、Active intrusion、Honeypot、 Active spread of botnet 1. 前言 殭屍網路(Botnet)是目前最嚴重的資訊安全 威脅之一[1][2][3],它是指一群感染惡意軟體並受 駭客控制的電腦,受感染的電腦(Botclient)將會猶 如一個殭屍而任由擺佈,攻擊者可利用這些殭屍電 腦來竊取使用者私人的資料和帳號密碼,特別是電 子商務行為的重要資訊,或者用來發送垃圾郵件及 釣魚郵件可以用來進行分散式阻斷服務攻擊癱瘓 特定電腦[3]。 在偵測的手法上也都努力的發展出相對應的 方式去檢測,像是透過部署誘捕系統[4],如:蜜 罐(Honeypot),去找出經常性的不正常對外連線, 這是利用 Botclient必須定期的向 C&C Server聯絡 以便取得最新的配置檔或是所發佈惡意指令,相較 於一般電腦的正常連線,這項特殊的特徵就能夠來 作為偵測的因素之一,在利用統計方法或是演算法 [5][6][7]來設定偵測門檻值,進而判斷是否有殭屍 網路中毒的電腦個體。殭屍網路近來常使用新興的 隱藏技術「fast-flux」[8],來使的他們更難被偵測 到,這是針對防禦方法:「封鎖特定 IP」的改良策 略,這技術會不斷地輪流改變殭屍網路C&C Server 的 DNS紀錄,讓殭屍網路難以被查獲。 根據實際安裝者的差異,我們可以分成兩種 情境:主動式攻擊漏洞與被動式誘騙攻擊。前者係 因受害者電腦存在某些漏洞,使得攻擊者去利用這 些漏洞入侵到受害者電腦,因此取得權限或利用程 TANET2013臺灣網際網路研討會-【論文集】