社交僵尸網絡發展綜述

2022-08-12 02:29:18鄒福泰郭萬達李林森

計算機工程 2022年8期

葛昕，鄒福泰，郭萬達，譚越，李林森

（1.上海理工大學信息化辦公室，上海 200093；2.上海交通大學電子信息與電氣工程學院，上海 200240）

0 概述

社交網絡為人們提供了模擬現實生活的社交平臺，已成為現代社會建立社會關系的重要方式。近年來，世界各國主要的網絡社交平臺用戶數量不斷提升，以我國的新浪微博平臺為例，截至2017 年9 月，微博單月內活躍用戶數量接近4 億，單日內的活躍用戶近2 億。微博具有用戶數量大、消息傳播速度快等特點，已成為人們討論新聞、分享觀點的重要平臺之一。文獻［1］研究了即時信息對微博熱點新聞進行情感分類的方法，分析不同人對于相同事件的態度。這類研究針對的是現有社交平臺的熱點問題，具備很高的社會價值。

隨著社交網絡的流行與大量用戶的涌入，社交網絡集中儲存了大量的用戶個人信息，這些信息包含用戶的郵箱、電話號碼、興趣愛好、家庭住址等用戶的隱私信息。此外，攻擊者發現社交網絡中的部分用戶安全意識匱乏，且基于用戶信任即可建立好友關系和互相訪問對方的信息。近年來，社交網絡的這些特性開始被攻擊者利用，社交僵尸網絡應運而生。攻擊者通過社交僵尸賬號添加用戶好友，收集用戶信息，給用戶的賬戶安全造成危害。社交網絡迅猛發展的勢頭助長了社交僵尸網絡的擴散，使其成為互聯網的一種新的威脅。社交僵尸網絡具有如下的特征：隱蔽性強，社交網絡用戶數量大，用戶數據較為分散，在海量的正常流量中，僵尸網絡產生的流量可以輕松地隱藏自身；傳播難度低，人們在社交網絡平臺上傾向于根據較為主觀的個人偏好對用戶進行分組，這使得社交僵尸網絡能夠更加方便地擴大傳播范圍和竊取隱私數據，同時可以利用其在網絡中全新的定位傳播錯誤信息，試圖引導公眾輿論；危害性大，社交網絡平臺自身的開放性使得社交僵尸網絡可以在平臺上發布和部署具有欺騙性的內容和鏈接，誘使用戶對其進行操作，從而向用戶植入惡意代碼，最終實現對用戶主機的控制，達到其惡意目的；持久性，因為社交網絡平臺的生命周期很長，其中隱藏的社交僵尸網絡又很難被檢測到，所以社交僵尸網絡可以在社交平臺上長期地存在且不被發現。

在社交僵尸網絡的發展過程中，越來越多的網絡安全技術開始被運用。早期的社交僵尸網絡普遍使用明文進行傳播，較易檢測；隨后出現了多種多樣復雜的、更為隱蔽的社交僵尸網絡，如基于圖像隱寫技術的Stegobot 社交僵尸網絡［2］、基于網頁標簽屬性域隱蔽的DR-SNbot［3］、基于推文長度的隱寫技術的Twitter 社交僵尸網絡［4］等。由于運用了最新的技術實現了很高的隱蔽性，這些僵尸網絡的檢測難度往往都很大，危害性相比傳統僵尸網絡也更大。

綜上所述，社交僵尸網絡對社交平臺有極大的破壞性，同時也危害著用戶的個人信息安全與系統安全。因此，研究社交僵尸網絡的通信方式、攻擊原理和技術，以及相應的防護、接管與反制方案十分重要，具有很高的經濟社會價值。

本文從社交僵尸網絡安全威脅的根源著手，研究社交僵尸網絡的通信原理和運轉方式及表現出的群體特征與隱蔽手段，為社交網絡的安全防護，尤其是針對運用新技術的社交僵尸網絡的檢測與防護，提供相關的理論和技術支持。介紹僵尸網絡的概念、發展現狀與趨勢以及社交僵尸網絡的概念與發展現狀，并分析現有社交僵尸網絡的工作機制，對新型的社交僵尸網絡——隱蔽型僵尸網絡的兩類檢測方法以及基于機器學習的社交僵尸網絡檢測方法進行分析，給出社交僵尸網絡反制與接管的發展思路。在此基礎上，對比分析不同社交僵尸網絡檢測方法的優缺點，并對未來社交僵尸網絡領域的研究方向進行展望。

1 僵尸網絡

1.1 僵尸網絡概念

僵尸網絡（Botnet）是由命令控制信道技術搭建的具有惡意目的的網絡［5］。攻擊者往往利用僵尸網絡來傳播僵尸程序，達到控制大量受害者主機的目的。其中，“攻擊者”是指能夠控制僵尸主機的控制器（Botmaster）。攻擊者可以通過一對多的方式高效地控制大量的受害主機發起DDoS 攻擊、發送垃圾郵件、傳播惡意代碼、進行點擊欺詐以及竊取受控主機敏感信息等。

命令與控制（Command and Control，C&C）信道是僵尸網絡的主要特征之一。唯有依賴于C&C 信道，攻擊者才能達到實時驅動批量僵尸主機執行網絡攻擊的目的，而控制者能夠實現對僵尸主機狀態信息及其他數據的回收與攻擊策略的實時調整［6］。根據C&C 信道的特征不同，傳統的僵尸網絡被分為基于IRC 協議的僵尸網絡、基于HTTP 協議的僵尸網絡、基于P2P 結構的僵尸網絡、基于Fast-flux［7］技術的僵尸網絡、基于Domain Flux［8］技術的僵尸網絡、基于URL Flux［9］技術的僵尸網絡等。

隨著時間的推移，近年來出現了與熱門技術緊密相關的僵尸網絡，例如在物聯網（Internet of Things，IoT）中控制大量設備的IoT 僵尸網絡、基于區塊鏈技術通信的僵尸網絡等。

2016 年，基于IoT 的Mirai 僵尸網絡控制了接近50 萬臺物聯網設備，實現了高達1.2 Tb/s的網絡流量的DDoS 攻擊［10］。此后，物聯網中的DDoS 攻擊開始成為研究人員的關注對象［11］。近十年來，研究人員或是在Mirai僵尸網絡的基礎上進行改進，或是設計出更加難以實施防護的IoT 僵尸網絡。例如文獻［12］介紹了Linux Wifatch 僵尸網絡。這種IoT 僵尸網絡主要針對感染采用默認用戶名密碼登錄或使用弱密碼的IoT 設備設計，在感染后Wifatch 使用P2P 網絡，刪除主機上的其他惡意軟件，關閉該主機的Telnet 連接，并在設備日志中記錄Telnet 關閉的信息。另一種新型的僵尸網絡是Linux/IRCTelent，它針對支持IPv6 的物聯網設備設計，結合了Telnet 暴力破解、代碼注入、用戶名/密碼表等多種技術，實現對目標主機的感染和基于IPv4、IPv6協議的泛洪攻擊。

區塊鏈技術的發展導致了數字加密貨幣的流行，比特幣則是數字加密貨幣的代表。區塊鏈具有去中心化、不可篡改性、匿名性等特性，這些特性不僅使其可以作為網絡安全防護方案的核心技術，也引起了黑客的注意。黑客開始將比特幣引入僵尸網絡的C&C 通信，借助其特性使得現有的僵尸網絡檢測方法失效，大幅提升了僵尸網絡的隱蔽性。文獻［13］介紹一種基于比特幣的ZombieCoin 僵尸網絡，這種僵尸網絡采用比特幣的數字簽名來隱藏C&C 控制信息，從而增加了其檢測難度。文獻［14］介紹的比特幣僵尸網絡Testnet，并提出一種實現僵尸網絡控制器與僵尸主機之間雙向加密通信的僵尸網絡。

1.2 僵尸網絡發展趨勢

隨著新技術的不斷出現，僵尸網絡的傳播能力與隱蔽性在逐漸增強，同時網絡攻擊者開始在不同的平臺上部署僵尸網絡（如前文所述的出現在物聯網上的IoT 僵尸網絡以及出現在社交平臺上的社交僵尸網絡）。由此可見，僵尸網絡帶來的網絡安全威脅在不斷增加。對于這類安全威脅的防范，潛在的研究不僅在于對僵尸網絡的檢測，還包括如何對僵尸網絡進行反制，降低其傳播速度與危害性。

2 社交僵尸網絡

基于社交網絡的僵尸網絡與傳統的僵尸網絡有著較大的區別：在傳統的僵尸網絡中，被控制的節點不是控制者擁有的主機，而是存在于網絡上的其他用戶的主機。而在社交僵尸網絡中，被控制的節點是攻擊者自行創建的社交賬號，攻擊者利用僵尸程序控制這些賬號執行一些極其類似真實用戶的行為來模擬真實賬號，該過程如圖1 所示。

圖1 社交僵尸網絡概念示意圖Fig.1 Schematic diagram of social botnet concepts

上述差別導致了社交僵尸網絡一般不存在感染其他主機的惡意代碼，而是通過偽造的URL 來誘導人們點擊下載惡意代碼；社交僵尸網絡也不存在特殊的通信協議，因為社交僵尸網絡中的通信幾乎都是僵尸程序與社交網絡服務器之間的基于HTTP 的通信。上述不同導致了兩者的檢測方法的差異性。

2.1 社交僵尸網絡定義

定義1（社交僵尸）社交僵尸是一種特殊的聊天機器人，用于社交網絡自動生成消息或者支持某些想法、活動和公共關系，收集追隨者信息的虛假賬戶［15］。

定義2（社交僵尸網絡）社交僵尸網絡是指在社交網絡中，攻擊者出于惡意目的，通過一對多控制結構操縱大量的可模擬真實用戶的僵尸賬號形成的受控網絡［16］。

僵尸賬號是攻擊者通過人工方法或者運用僵尸程序創建的被社交網絡控制的賬號，僵尸賬號之間不會進行通信。僵尸賬號并不只是收集用戶信息，還有許多僵尸賬號利用與真實用戶之間的信任關系傳播垃圾信息，嚴重影響社交網絡安全。

2.2 社交僵尸網絡惡意行為

社交僵尸網絡的惡意行為與普通僵尸網絡惡意行為類似，文獻［17］將社交僵尸網絡的惡意行為分為三大類：消息散布（Information Dispersion），信息收集（Information Gathering）和信息處理（Information Processing），如圖2 所示。

圖2 社交僵尸網絡惡意行為的分類Fig.2 Classification of social Botnet malicious behavior

社交僵尸網絡惡意行為一般有以下5 種形式：

1）污染網絡環境。一些僵尸賬號隱藏在真實賬號之下，通過投放廣告賺取點擊量，如傳播色情、反動信息。一些社交僵尸賬號與合法用戶之間確立了信任關系，以更加難以發現的方式發布垃圾信息。

2）引導輿論。當一些重大事件發生時，社交僵尸網絡通過控制大量社交僵尸賬號集體發聲制造巨大的網絡聲浪，引導和控制社會輿論，甚至影響事態的發展，這即所謂的社交網絡水軍。

3）竊取信息。社交僵尸賬號通過與真實的用戶建立相互的信任關系，通過與真實用戶進行互動，收集真實用戶的隱私信息。獲取這些信息后，攻擊者就可以將它們轉賣給營銷公司，造成用戶信息泄露，導致用戶收到大量垃圾短信、垃圾郵件、騷擾電話等。

4）惡意植入。通過與真實用戶建立的信任關系發布偽造的URL 鏈接。攻擊者可以使用偽造的URL 鏈接進行網絡釣魚、傳播病毒、誘導用戶下載惡意代碼等行為。一些缺乏網絡安全意識的用戶常會無條件地信任并點擊“朋友”發布的鏈接，從而遭受惡意攻擊，甚至被盜取賬號、植入主機病毒等。

5）虛假信息傳播。由于社交網絡的巨大體量和社交僵尸網絡強大的消息擴散能力，攻擊者可以利用社交網絡上的僵尸賬號進行謠言的傳播。

在國際上已經有社交僵尸網絡的惡意行為這一應用的先例：一份針對2010 年美國中期大選的文獻指出了社交僵尸網絡的濫用影響了大選的最終結果［18］；2014 年，印度的大選中也被發現有運用社交僵尸賬號散布對敵對政黨不利的新聞的現象［19］。另外，文獻［20］指出，一些國家的政府利用社交僵尸網絡來誘導大眾發表有利于政府的觀點。從國家的層面來講，現代的戰爭形成了認知域這一全新的作戰維度，與傳統戰爭中的物理域和信息域共同構成了現代戰爭的三大戰場。目前，社交僵尸網絡的出現吸引了一些組織的注意力，他們開始嘗試將社交僵尸網絡運用在向敵人散布虛假的消息或者錯誤的消息上，這會給敵人的心理造成一些影響，從而左右戰爭的局勢。因此，雖然還沒有證據表明社交僵尸網絡已經被運用在現代戰爭中，但是要注意到社交僵尸網絡的力量及其對戰爭勝負的影響力。

綜上可見，社交僵尸網絡帶來的安全威脅是不可小覷的。因此，有必要了解并研究社交僵尸網絡的攻擊原理與防御方法。

3 社交僵尸網絡發展階段

從第一個知名的社交僵尸網絡Koobface［21］出現至今，其攻擊形態和攻擊技術都發生了巨大的變化，從最初借助社交平臺對C&C 信道進行弱加密，到運用隱寫技術將控制命令隱藏在圖片或文本中進行傳播的社交僵尸網絡，社交僵尸網絡的隱蔽性越來越強，種類也變得更加繁雜。

3.1 傳統社交僵尸網絡階段

隨著社交網絡平臺的發展，僵尸網絡被引入社交網絡中。隨著2010 年第一個成功傳播的社交僵尸網絡Koobface 的出現，一批以傳統僵尸網絡技術為基礎的社交僵尸網絡大量產生。下面按照社交僵尸網絡所針對的社交平臺的不同，分別介紹社交僵尸網絡的發展演化歷程。

3.1.1 Facebook 上的社交僵尸網絡

文獻［21］介紹了利用社交網絡平臺進行傳播且獲得成功的僵尸網絡Koobface，其攻擊目標是擁有諸如Facebook、MySpace 等社交網站賬號的個人用戶，目標系統為Windows 系列操作系統。攻擊者通過Koobface 可以實現廣告推送、惡意軟件付費安裝、用戶信息竊取，進而牟取暴利。Koobface 通過社會工程學的方式進行傳播。具體來講，Koobface 利用社交網絡平臺發布惡意視頻鏈接，誘騙用戶點擊并安裝惡意插件從而感染成為僵尸主機。攻擊者會事先注冊若干blogspot1/bit.ly 賬號，同時準備好一批被劫持和篡改的網站頁面。準備完畢后，Koobface 會利用已感染用戶的社交賬號進行惡意鏈接的發布和推送（第1 個階段），該鏈接指向攻擊者準備的惡意blogspot/bit.ly 鏈接（第2 個階段），當用戶點擊訪問社交賬號上發布的鏈接時首先會跳轉到blogspot/bit.ly 中的惡意鏈接，接著blogspot/bit.ly 的鏈接將會把請求重定向到被劫持和篡改的網頁（第3 個階段），通過頁面的JavaScript 腳本再一次將用戶的請求重定向到最終目的地——惡意視頻頁面（第4 個階段）。還有一些研究人員研究了Koobface 僵尸網絡的傳播及命令控制機制，并分析了Koobface 的URL 混淆技術，他們認為Koobface 僅對C&C 信道進行了弱加密。

文獻［22］介紹了基于Facebook 的社交僵尸網絡Yazanbot。該社交僵尸程序可以產生分別針對社交網絡信息傳遞過程和社交關系管理結構的兩種操作。前者可以對Facebook 上的內容進行讀、寫等操作；后者則可以產生新的社交關系圖。僵尸網絡控制者賬戶可以通過發布不同的命令，實現與社交僵尸賬戶之間的建立與斷開連接操作。同時，僵尸網絡控制者賬戶還能夠操縱社交僵尸賬戶的行為，執行包括命令僵尸賬戶連接正常的社交賬戶和倉庫內的其他賬戶、尋找鄰居賬戶、返回收集到的用戶信息在內的操作。Facebook 提供的API 接口和HTTP 請求的模板庫是Yazanbot 工作的主要基礎。

其他以Facebook 為平臺的社交僵尸網絡還有文獻［23］介紹的Fbbot。Fbbot在隨機時間登錄Facebook 網站首頁，獲取最新狀態，解析后得到相關的命令并進行對應的操作，最終提供反饋信息。Facebook 上的社交僵尸網絡多利用Facebook 提供的Facebook Graph API［24］來進行大規模的社交關系操作，利用社交僵尸程序收集用戶的個人信息。

3.1.2 Twitter 上的社交僵尸網絡

與Koobface 同期出現的社交僵尸網絡還有文獻［25］介紹的基于Twitter的僵尸網絡Nazbot。Nazbot 使用Twitter 上的賬戶名為upd4t3 的僵尸主機接收命令。Nazbot 首先向upd4t3 的RSS 發出HTTP GET 請求，Twitter 隨后返回一個以Base64 編碼的文本RSS 提交給Nazbot。然后Nazbot 對該文本進行解碼，并從bit.ly 網址獲取真實的URL，該bit.ly URL 重定向到一個獨立服務器上的惡意文件。隨后Nazbot下載這個惡意文件并將其作為有效載荷解壓并執行。最后有效載荷竊取用戶的管理信息，并將收集到的信息返回給botmaster 控制的服務器。

文獻［26］介紹了以明文發布命令的基于Twitter的移動僵尸網絡。ZeroFOX 威脅研究小組對一個名為Siren 的大型僵尸網絡進行了調查研究［27］，該網絡利用算法生成的Twitter 賬戶所形成的龐大信息網絡來發布有效的URL，該URL 可以重定向到很多包含色情內容的網站上。隨后被控制的僵尸賬戶通過直接轉發受害者的推文，來誘使受害者掉入陷阱。

2013 年出現了另一種Twitter 上的社交僵尸網絡Twitterbot［28］。研究人員使用Twitter 作為僵尸網絡的C＆C 信道，直接在Twitter 賬戶上發布僵尸網絡命令。僵尸程序通過Twitter 網站上的Twitter 消息搜索引擎來獲取命令，并使用OAuth 認證機制和twitter4j API 接口開發的應用程序進行通信。Twitterbot 使用關鍵詞減少了Twitter 消息的可疑度，提高了僵尸網絡節點的存活率。

3.1.3 Weibo 上的社交僵尸網絡

相比于國外的社交僵尸網絡，我國出現社交僵尸網絡的時間相對較晚。2017 年，文獻［23］介紹了基于微博平臺的社交僵尸網絡Wbbot，它通過模擬IE 瀏覽器的行為來訪問微博網站，最終獲取用戶在微博上的個人信息。Wbbot 首先嘗試從微博主頁獲取botmaster的狀態。隨后僵尸程序檢查控制命令是否被包含在微博的狀態信息中，以及相關命令是否已經被執行。最后僵尸程序會對新的命令進行處理和分析，并執行相應的操作。該社交僵尸網絡共存在10 個不同的控制命令：6 個主機上的行動命令用來獲取本地網絡信息、Windows系統版本、執行DoS 命令、迫使IE 瀏覽器打開一個URL、強迫受害者主機重新綁定域名和IP 等；另外4 個在線社交網絡活動的命令可以控制感染微博賬戶發布文本消息、更新狀態信息、對微博消息進行評論、關注指定賬戶。

其他Weibo 上的社交僵尸網絡有文獻［3］介紹的DR-SNbot，這種僵尸網絡基于新浪博客搭建C&C信道，同時將控制命令隱藏在博文中，并將其發送到多個博客上。文獻［29］介紹的基于P2P 的社交僵尸網絡，通過匿名網絡注冊賬戶將加密后的命令釋放到賬戶中。超級節點根據P2P 通信機制，使用相同的微博昵稱生成算法，并主動通過HTTP 請求從微博賬戶中獲取加密命令，增加了防御者跟蹤整個僵尸網絡的難度，彌補了P2P 僵尸網絡模型中缺少命令服務器的問題。表1總結了現有的社交僵尸網絡的主要特點。由于微博平臺的API接口控制較為嚴格，相比于Twitter和Facebook開放程度較低，因此很少有基于微博的社交僵尸網絡研究，而且現有的基于微博的社交僵尸網絡的存活時間也相對較短。

表1 不同平臺上的社交僵尸網絡Table 1 Social Botnets on different platforms

3.2 新型社交僵尸網絡階段

僵尸網絡的C&C 信道負責傳輸僵尸網絡的內部控制消息，為防止第三方冒充Botmaster 發布命令或竊聽C&C 通信內容，攻擊者通常會在通信過程中引入相關的加密技術。然而，由于發布在社交網絡上的社交僵尸網絡命令一般是對用戶公開的明文，因此社交僵尸網絡的C&C 信道還必須具備較高的隱蔽性，以防止這些惡意消息被發現，最終導致僵尸網絡被檢測到并被破壞。為了逃避系統檢測，社交僵尸網絡開始探索基于信息隱藏技術的隱蔽通道的使用。隱蔽型社交僵尸網絡面臨如下幾個主要問題：如何隱蔽地利用人類的社交習慣，通信的信息如何隱藏，如何更好地逃避檢測。因此，隱寫技術逐漸被引入到社交僵尸網絡的設計與開發過程中。

隱寫技術是一門關于信息隱藏的技術和科學，即除預計的信息接收者外，沒有人會知道信息的傳輸（不僅僅是消息的內容）。其中，最常用的隱寫技術是基于圖像的隱寫技術。最具有代表性的隱寫技術是JPEG 隱寫技術Jsteg［30］，其主要思想是在離散余弦變換系數最小的位中隱藏數據，從而保證無法用肉眼看出隱寫后與隱寫前圖像之間的區別。其他的圖像隱寫技術還有YASS［31］、基于模型的MB［32］、Outguess［33］、F5［34］等。其中YASS 隨機選取8×8 的字塊，將隱寫信息嵌入到該字塊的DCT 系數中。

3.2.1 基于圖像隱寫技術的社交僵尸網絡

文獻［2］介紹了基于圖像隱寫技術的Stegobot社交僵尸網絡。Stegobot 使用社交網絡用戶共享的圖像作為構建C&C 通信的通道媒體，采用YASS 圖像隱寫技術在社交網絡中建立一個通信的通道，并將其作為社交僵尸網絡的C&C 信道。Stegobot 的設計目的是通過社交網絡，比如電子郵件通信網絡或允許朋友交換電子郵件的在線社交網絡來感染用戶。Stegobot 感染大量主機，并從主機向Botmaster傳輸盜取的信息。當用戶從受感染的主機上傳圖像到Facebook 時，僵尸會截取圖像，并在發送到Facebook 前使用YASS 圖像隱寫技術將僵尸負載插入到圖像中。當Botmaster 準備發布命令時，它通過生成一個僵尸負載消息并將其上傳至它的Facebook賬戶來完成，然而，圖片占用很大的空間將顯著增加僵尸網絡信道的流量，容易被檢測到。Stegobot 圖像隱寫系統的結構如圖3 所示。

圖3 Stegobot 圖像隱寫系統Fig.3 Stegobot image steganography system

3.2.2 基于文本隱寫技術的社交僵尸網絡

文獻［3］介紹的DR-SNbot 包括Botmaster、C&CServer 與Bot 3 個部分。其中僵尸網絡的控制端是Botmaster部分，這部分用來發送攻擊命令。C&C-Server是命令控制服務器，是注冊昵稱對應的社交網絡虛擬主機。每個C&C-Server 對應進行一個企業不同的注冊昵稱，并將命令隱藏在僵尸網絡日志中發布。當C&C服務器出現故障時，災難恢復機器人會發出預警，通知攻擊者構建新的C&C 服務器，并自動修復C&C 通信信道，以確保其強大的抗毀性。Bot 是僵尸程序，通常運行在移動終端上，用于在C&C-Server 上下載命令并解析執行這些命令。DR-SNbot 的C&C 信道命令的發布包括預處理、信息隱藏、POST、GET、信息提取、后處理6 個步驟。預處理過程是指Botmaster對命令進行加密和簽名，最終形成密文。信息隱藏是指Botmaster 在一個屬性域中隱藏一段密文，隨后在正常日志中插入這個標簽。這個被操作的屬性域要擁有特殊的網頁標簽。僵尸主機通過HTTP 的POST 方式將日志上傳到C&C-Server，Bot 通過GET 請求下載該日志，在Bot 日志中尋找與眾不同的網頁標簽（如），確定該標簽的屬性域，并在提取信息隱藏階段加密得到的密文。最后Bot 驗證Botmaster 產生的數字簽名，如果該簽名驗證最終是通過的，那么Bot 對該消息進行解密，得到對應的明文（即命令），如果簽名驗證不通過，Bot 會丟棄這條消息。C&C 信道流程如圖4 所示。