网络技术飞速发展,病毒.蠕虫、木马等不断涌现,而僵尸网络则是“网络程序杀手”,其危害远远高于以前的恶意脚本,已经成为网络社会所面临的最大威胁。
本书从一个真实的僵尸网络攻击案例开始.随后结合实例介绍僵尸网络的基础知识,包括僵尸网络的概念、运行方式和环境、生命周期等。紧接着介绍僵尸网络的检测、跟踪工具和技术,以及Ourmon和沙盒工具的使用,最后讲解了如何获取情报资源及如何应对僵尸网络。
本书特色
·第一本专门介绍最新网络威胁——僵尸网络的作品
·介绍了什么是僵尸网络、它们如何传播、利用何种工具来对抗等问题
·全面覆盖Ourmon和其他开放资源工具
·由多位富有丰富实践经验的专家编写
样章试读
目录
- 第1章 僵尸网络:呼吁行动
前言
网络程序杀手
问题有多大?
僵尸网络的概念史
僵尸病毒的新闻案例
业界反响
小结
快速回顾
常见问题
第2章 僵尸网络概述
什么是僵尸网络?
僵尸网络的生命周期
漏洞利用
召集和保护僵尸网络客户端
等候命令并接受payload
僵尸网络究竟做什么?
吸收新成员
DDoS
广告软件(Adware)和Clicks4Hire的安装
僵尸网络垃圾邮件和网络钓鱼连接
存储和分配偷窃或非法(侵犯)知识产权的信息资料
勒索软件(Ransomware)
数据挖掘
汇报结果
销毁证据,放弃(僵尸)客户端
僵尸网络经济
垃圾邮件和网络钓鱼攻击
恶意广告插件和Clicks4Hire阴谋
Ransomware勒索软件
小结
快速回顾
常见问题
第3章 僵尸网络C&C的替换技术
简介:为什么会有C&C的替换技术?
追溯C&C的发展历史
DNS和C&C技术
域名技术
多宿(Multihoming)
可替换控制信道
基于Web的C&C服务器
基于回声的僵尸网络
P2P僵尸网络
即时消息(IM)C&C
远程管理工具
降落区(drop zone)和基于FTP的C&C
基于DNS的高级僵尸网络
小结
快速回顾
常见问题
第4章 僵尸网络
简介
SDBot
别名
感染途径
被感染的标志
注册表项
新生成的文件
病毒传播
RBot
别名
感染途径
被感染的标志
Agobot
别名
感染途径
被感染的标志
传播
Spybot
别名
感染途径
被感染的标志
注册表项
不正常的流量
传播
Mytob
别名
感染途径
被感染的标志
系统文件夹
不正常的流量
传播
小结
快速回顾
常见问题
第5章 僵尸网络检测:工具和技术
简介
滥用
垃圾邮件和滥用
网络设施:工具和技术
SNMP和网络流:网络监控工具
防火墙和日志
第二层的交换机和隔离技术
入侵检测
主机的病毒检测
作为IDS例子的Snort
Tripwire
暗网、蜜罐和其他陷阱
僵尸网络检测中的取证技术和工具
过程
事件日志
防火墙日志
反病毒软件日志
小结
快速回顾
常见问题
第6章 Ourmon:概述和安装
简介
案例分析:在黑暗中跌撞前行的事情
案例1:DDoS(分布式拒绝服务)
案例2 外部并行扫描
案例3 僵尸客户端
案例4 僵尸服务器
Ourmon如何工作
Ourmon的安装
Ourmon安装提示和窍门
小结
快速回顾
常见问题
第7章 Ourmon:异常检测工具
简介
Ourmon网页接口
原理简介
TCP异常检测
TCP端口报告:30秒视图
TCP蠕虫图表
TCP每小时摘要
UDP异常检测
E-mail异常检测
小结
快速回顾
常见问题
第8章 IRC和僵尸网络
简介
IRC协议
Ourmon的RRDTOOL统计与IRC报告
IRC报告的格式
检测IRC僵尸网络客户端
检测IRC僵尸网络服务器
小结
快速回顾
常见问题
第9章 ourmon高级技术
简介
自动包捕获
异常检测触发器
触发器应用实例
Ourmon事件日志
搜索Ourmon日志的技巧
嗅探IRC消息
优化系统
买一个双核(Dual-Core)CPU
使用不同的电脑,分开前端与后端
买一个双核,双CPU的主板
扩大内核的环缓存
减少中断
小结
快速回顾
常见问题
第10章 使用沙盒工具应对僵尸网络
简介
CWSandbox介绍
组件介绍
检查分析报告的样本
<analysis>部分
分析82f78a89bde09a71ef99b3ced b991bcc.exe
分析Arman.exe
解释分析报告
僵尸病毒是如何安装的?
病毒如何感染新主机
僵尸病毒如何保护本地主机和自己?
联系哪个C&C服务器以及如何联系
僵尸病毒如何更新?
进行了什么样的恶意操作?
在线沙盒对僵尸病毒的监测结果
小结
快速回顾
常见问题
第11章 情报资源
简介
辨别企业/大学应该尽力收集的信息
反汇编
可找到公用信息的地方/组织
反病毒、反间谍软件、反恶意软件的网页
专家和志愿者组织
邮件列表和讨论团体
会员组织以及如何获得资格
审查成员
保密协议
什么可以共享
什么不能共享
违背协议的潜在影响
利益冲突
获取信息时如何处理
情报收集在法律相关的执行方面扮演的角色
小结
快速回顾
常见问题
第12章 应对僵尸网络
简介
放弃不是一个选项
为什么会有这个问题?
刺激需求:金钱,垃圾邮件,以及网络钓鱼
法律实施问题
软件工程的棘手问题
缺乏有效的安全策略或者过程
执行过程中的挑战
我们应该做什么?
有效的方法
如何应对僵尸网络?
报告僵尸网络
绝地反击
法律的实施
暗网、蜜罐和僵尸网络颠覆
战斗的号角
小结
快速回顾
常见问题