龙源期刊网 http://www.qikan.com.cn
基于短地址混淆和谷歌云推送的移动僵尸网络的构建
作者:李娜 杜彦辉 陈默 来源:《计算机应用》2015年第06期
摘要:移动僵尸网络造成的不良影响已经成为移动网络面临的重要安全问题之一,为了提升对移动僵尸网络的预测能力和防御能力,提出了一种基于短地址混淆(USSesFlux)和谷歌云(GCM)推送的移动僵尸网络的构建机制。设计了基于中心结构和对等网络(P2P)混合的拓扑结构的移动僵尸网络模型,给出了USSesFlux算法,从而增强了命令与控制信道的隐秘性文中“隐秘性”和“隐蔽性”是否应统一?文中的“隐蔽性”应全改为“隐秘性”。统一为”隐秘性“ 和强壮性。给出了该移动僵尸网络的控制模型,分析了不同僵尸节点的状态改变、命令设计和传播算法。实验环境中,研究了短地址的失效率与申请数量之间的关系,并对该移动僵尸网络与不同命令和控制信道的样本进行静态分析、动态分析和电量测试。结果表明:该移动僵尸网络具有较强的隐秘性、强壮性和低消耗。
关键词:移动僵尸网络;命令与控制信道;网络模型;云推送;短地址混淆 中图分类号: TP393.08 文献标志码:A 英文摘要
Abstract:Mobile botnet has become one of the important security problems for the mobile network. In order to enhance the defensive ability and prediction ability of mobile network,a method for constructing mobile botnet based on a URL Shortening Services Flux (USSesFlux) and Google Cloud Messaging for Android (GCM) was proposed. The mobile botnet model was designed with hybrid topology of central structure and peertopeer (P2P), USSesFlux algorithm was presented, which increased robustness and stealthiness of Command and Control (C&C) channel. The control model was discussed. The states change of different bot, command design and propagation algorithm were also analyzed. In the test environment, the relationship between probability of short URL invalidness and number of required short URL was discussed. The static analysis, dynamic analysis and power testing of the mobile botnet and the samples of different C&C channel were carried out. The results show that the proposed mobile botnet is more stealthy, robust and lowcost. 英文关键词
Key words:mobile botnet; Command and Control (C&C) channel; network model; cloud push; URL Shortening Services Flux (USSesFlux)
龙源期刊网 http://www.qikan.com.cn
0 引言
命令与控制信道是僵尸网络研究中攻防双方争夺控制权的关键点,也是僵尸网络区别于恶意软件的重要特征,在僵尸网络构建中起着重要的作用。移动僵尸网络不同于传统的僵尸网络,命令与控制信道的选择上也略有差异。其中,使用短信(Short Messaging Service, SMS)[1-2]作为命令与控制信道具有很强的有效性、鲁棒性和延迟推送等优点,但是使用SMS发送控制指令也会产生大量的资费,容易引起用户的注意。因此,又出现了基于短信和超文本传输协议(Short Messaging ServiceHyerText Transfer Protocol,SMSHTTP)混合结构命令与控制信道[3-4]的移动僵尸网络。手机中的蓝牙功能也常常作为命令与控制信道使用[5],蓝牙的优点在于强壮性好又不会产生资费,但是缺点是蓝牙只能在近距离进行传播,实现性差。Andbot[6]是一种基于URLFlux动态中心结构的移动僵尸网络,具有可控性、隐秘性和资源消耗低等优点。而文献[7]在此基础上进行改进,将URL进行了压缩混淆,使信道更加隐蔽。基于WiFi构建的移动僵尸网络隐密性和攻击性都很强,但是WiFi环境受到环境方面的制约[8]。还有使用一种由IP网络传送话音的技术服务有无中文全称(Voice over Internet Protocol, VoIP)[9]和军用雷达网络传播[10]的移动僵尸网络,这些特殊的移动僵尸网路虽然命令与控制非常隐蔽,但是也存在实现性较弱的缺点。近年来,社交网络(如Twitter、Facebook、博客和微信等)越来越受到手机用户的青睐,移动僵尸网络不仅可以借助社交网络(如Koobface[11]、Stegobot[12]、Twitter僵尸[13])进行扩张,还可以借助其进行谣言的散播。研究中发现,以云推送平台作为命令与控制信道使攻击者推送命令更加地隐秘、及时和有效。谷歌公司在2012年推出了谷歌云推送是否有中文全称(Google Cloud Messaging for Android, GCM)[14]服务,废除了之前的中文全称C2DM(Android Cloud to Device Messaging)。GCM能把应用服务器发送来的信息推送到安卓系统的移动终端上,同样可以接收从移动终端上发送来的信息。由于安卓系统的开源性和云推送通知服务的便利,现在已经出现以C2DM[15]和GCM[16-17]为命令与控制的信道构建移动僵尸网络模型方式,但是研究还处于初级阶段,不够深入。 1 云推送和链接压缩服务 1.1 云推送
推送技术(Push Notification Service, PNS)并不是一门新的技术,20世纪90年代就已经出现在互联网,但是在当时并没有取得令人瞩目的成绩。直到云计算的发展和智能手机的迅速普及,应用到移动技术中的云推送通知技术得到了长足有效的发展。现在的云推送服务已经实现了很好的信息推送功能,用户一方面可以在应用程序的设置界面根据自己的需求和爱好订阅自己感兴趣的信息;另一方面应用程序提供商通过用户的订制的信息或者通过大数据分析用户的偏好和对信息的敏感度,根据人群将信息进行不同类型的分类和细化,推送个性化的信息给用户,使用户第一时间收到最新的信息。
各大IT中文公司都相继开发了云推送技术的产品,比如:谷歌公司的GCM、苹果公司的中文?APNS(Apple Push Notification Service)[18]、微软公司的MPNS(Microsoft Push
龙源期刊网 http://www.qikan.com.cn
Notification Service)[19]、黑莓公司的BBPS(BlackBerry Push Service)[20]、诺基亚公司的NNA(Notifications API for Symbian)和雅虎公司的(OnePush)等。图1展示了一种普通的云推送通知服务的架构。当移动终端安装了一个应用服务器,便向云服务器注册一个唯一的标识(在不同的平台有不同的名字,如谷歌公司GCM中命名为Registration ID,苹果的APNS中命名为Device Token,而在微软的MPNS中命名为Push URI),然后这一个标识被发送到应用服务器中。当应用服务器想要推送一个通知服务到移动终端时,首先发送这个唯一标识和推送通知信息到云服务器,云服务器再将推送通知信息发送到移动终端。 1.2 网址缩短服务
网址缩短服务(URL Shortening Services,USSes)是Web 2.0中常用的一项将冗长的网址替换成简短的网址的服务。智能终端的屏幕相对于固定主机来说要小得多,不能承载太长的地址信息,因此很多的软件是限制URL地址的长度,如Twitter要求URL地址不能超过140B。能够提供网址缩短服务的网站和工具很多,其中bit.ly和tinyurl.com是比较有名且使用广泛的两个产品。
网址缩短服务的工作原理:当用户向网址缩短服务发出长地址缩短的请求,网址缩短服务响应请求并返回短地址;当其他用户访问该短地址后,网址缩短服务将其重定向到之前的长地址。其实网址缩短服务(USSes)与域名服务(DNS)有很多的相似之处,但是也有很多的不同,主要不同如下:
1)网址缩短服务处理URL,而域名服务处理IP地址;
2)网址缩短服务不改变注册的URL,而域名服务可以改变注册的IP地址;
3)网址缩短服务中长地址值和短地址是一对一的关系,而域名服务中域名和IP地址是一对多的关系;
4)网址缩短服务是一个Web应用,而域名服务是中心网络服务。
2 GCM和USSesFlux移动僵尸网络模型第2章和第3章标题区别不大,能否修改?网络模型和控制模型是不同的概念,还是不改的好
本文在众多的云推送产品中选取了谷歌公司的云推送技术(GCM)作为移动僵尸网络的命令与控制信道,并采用短地址混淆(USSesFlux)的方法来隐藏C&C服务器的IP地址,设计了一个基于GCM和USSesFlux的移动僵尸网络。
首先提出一个基础的框架,如果按照图1所示,攻击者使用第三方应用服务器作为C&C服务器,并使用其在谷歌云平台申请云推送服务,然后被感染的智能终端从GCM中获取注册信息并将该注册信息发送到被攻击者控制的C&C服务器,从而使攻击者掌握被感染智能终端的情况进而发送命令信息。但是这个基础框架存在三个问题: