24、网络僵尸网络情报资源与信息管理

网络僵尸网络情报资源与信息管理

在当今数字化时代，网络安全问题日益严峻，其中僵尸网络（Botnets）成为了一大威胁。僵尸网络是由大量被感染的计算机组成的网络，可被攻击者利用来进行各种恶意活动，如分布式拒绝服务攻击（DDoS）、窃取信息等。了解如何获取僵尸网络相关信息以及如何管理这些信息对于保障网络安全至关重要。

1. 僵尸网络代码分析与组织协助

利用特定工具查看僵尸网络代码是许多互联网组织用于收集僵尸网络情报的一项工作。这种逆向工程可以提供关于僵尸网络控制者的信息，帮助我们理解其工作原理，还可用于设计从系统中清除僵尸网络的方法。如果你对拆解和查看僵尸网络代码感到不适，一些组织允许你将僵尸网络上传给他们，他们会对其进行分析，并更好地监测互联网上的类似僵尸网络。

2. 公共信息获取渠道

互联网上有众多组织和网站提供有关僵尸网络的最新信息、论坛和邮件列表。这些组织的侧重点各有不同，有些专注于捕获、分析、监测和报告恶意软件，而另一些则侧重于警告用户特定的僵尸网络并提供清除信息。这些网站提供的信息详细程度从基础到高级不等，还可能提供与其他安全专业人员互动的方式，有助于用户从新手成长为专家。

需要注意的是，互联网既是信息资源，也是虚假信息的来源。尽量只使用信誉良好的信息源。如果不确定信息的真实性，可以使用其他辅助来源进行验证。因为很容易创建一个网页，建议你安装一个声称可以提高安全性的工具，但实际上在安装过程中嵌入了僵尸网络。你肯定不想因为使用了错误的信息而意外降低安全性，或者安装影响网络的特洛伊木马和病毒。

3. 杀毒、反间谍软件和反恶意软件网站

在处理僵尸网络这类相对较新的问题时，一些明显的信息来源往往被忽视。由于僵尸网络已经存在多年，之前在系统中发现的僵尸网络已被提交给杀毒、反间谍软件和反恶意软件的供应商。这些供应商的软件可以清除计算机上的众多僵尸网络，他们的网站还提供白皮书、文章、论坛以及关于单个特洛伊木马（包括僵尸网络）的信息。以下是一些提供这些服务的主要网站：
| 网站名称 | 网址 | 提供的服务 |
| ---- | ---- | ---- |
| Grisoft | www.grisoft.com | AVG 杀毒、反恶意软件、反间谍软件、个人防火墙软件及其他系统保护工具 |
| Lavasoft | www.lavasoft.de | Ad - aware 间谍软件清除工具和个人防火墙 |
| McAfee | www.mcafee.com | McAfee 杀毒软件 |
| Microsoft Security | www.microsoft.com/security/ | 微软恶意软件清除工具，用于从系统中清除恶意软件。由于大多数僵尸网络旨在攻击微软系统，其安全板块以及 Windows Update 网站（http://windowsupdate.microsoft.com）提供的更新和补丁不应被忽视 |
| Symantec | www.symantec.com | Norton 杀毒软件及其他系统保护和清除恶意软件、病毒的工具 |
| Spybot Search & Destroy | www.safer - networking.org | Spybot Search & Destroy、RunAlyzer、FileAlyzer 和 RegAlyzer，用于清除和分析间谍软件和恶意软件 |

4. 查看已知僵尸网络和特洛伊木马信息

像 Symantec 这样的网站提供其软件所防范的已知病毒和特洛伊木马的信息。通过浏览其在线数据库，查找系统中发现的特定僵尸网络的信息，你可以获得关于其起源、功能、清除程序等重要信息。由于僵尸网络可能会修改 Windows 注册表、下载和使用多个文件以及对计算机进行其他修改，因此遵循正确的清除程序以完全消除僵尸网络在系统中的存在非常重要。

5. 专业和志愿者组织

除了从事病毒、恶意软件和间谍软件清除业务的组织外，许多专业和志愿者组织也提供关于僵尸网络等安全问题的有价值且全面的信息。以下是一些在互联网上提供有用、及时的僵尸网络和其他安全相关信息，以及提供访问其他安全专业人员收集的情报的组织：
- EDUCAUSE ：成员包括服务于教育组织或属于教育组织的人员，如学院、大学和其他教育团体，以及为高等教育提供信息技术服务的公司。该组织举办会议，提供讨论组、文件和其他资源，涉及广泛的主题。
- North American Network Operators Group (NANOG) ：专注于骨干/企业网络技术及其运营实践。提供会议、教程、邮件列表和其他资源，使安全信息能够传播给其成员，公众也可以通过其网站访问教程和其他信息。
- Shadowserver ：一个志愿者组织，专注于收集电子欺诈、恶意软件和僵尸网络的情报，包括收集、分析、跟踪和报告其活动。他们深入参与获取这些威胁的信息，甚至拆解病毒和特洛伊木马，报告攻击者并向其他专业人员发出警报。其网站为公众提供最新的统计数据、白皮书和其他信息，还有邮件列表将报告和其他信息发送到你的电子邮件地址，以及讨论组让你与其他专业人员讨论安全话题。

Shadowserver 的历史颇为有趣。它始于 2004 年，源于一场个人悲剧与网络犯罪的侵害。Nicolas Albright 的父亲自杀后不久，他发现父亲的电脑被僵尸网络用作分布式网络来存储盗版软件和电影。在通过切断犯罪分子的互联网访问关闭了僵尸网络后，他召集志愿者来对抗日益增多的用于恶意目的的僵尸网络。他们收集的情报用于向安全专业人员传播信息、向执法部门报告犯罪活动，以及协助关闭和起诉使用这些工具进行非法活动的人。

6. 其他提供信息的网站

互联网上还有一些网站在收集僵尸网络情报方面多次发挥了作用：
- Blackflag ：(http://blackflag.wordpress.com) 提供关于僵尸网络、黑客工具、恶意软件和其他潜在威胁及工具的信息和文章。
- Bleeding Edge Threats ：(www.bleedingthreats.net) 提供可下载的病毒签名、邮件列表、订阅源和其他有助于情报收集的功能。
- Securiteam ：(www.securiteam.com) 由 Beyond Security（www.beyondsecurity.com）拥有和维护的安全网站，提供广泛的安全相关主题信息，包括已知的漏洞、可下载的工具、新闻、评论以及向安全专家提问的功能。

7. 邮件列表和讨论组

有许多邮件列表会定期通过电子邮件向你发送信息，还有一些消息组允许你在线发布和查看消息。以下是一些你可以加入以讨论安全问题并提问的邮件列表和讨论组：
- Edu - Ops ：http://isotf.org/mailman/listinfo/edu - ops
- Anti - Phishing Working Group ：www.apwg.org
- Botnets ：www.whitestar.linuxbox.org/mailman/listinfo/botnets
- Shadowserver ：www.shadowserver.org/mailman/listinfo/shadowserver
- University Security Operators Group (UNISOG) ：https://lists.sans.org/mailman/listinfo/unisog

8. 会员组织及资格要求

虽然我们讨论的许多组织对公众开放，加入要求很少或没有要求，但有些组织有严格的要求才能获得会员资格。这些组织提供关于僵尸网络的情报，但仅向当前会员提供，并且通常规定信息不得在组织外共享，当然，用于保护自己的网络或组织安全的情况除外。

不同组织的加入要求各不相同。有些可能仅限于教育机构、医疗组织、政府资助的研究机构或其他类型的组织。例如，计算机取证专业人员协会（www.forensic - institute.org）将会员资格限制在特定专业领域的人员。如果一个人从事数字证据处理领域的工作，并通过测试并满足特定标准，就可以获得会员资格。其他组织可能不将会员资格限制在特定领域或就业领域，但会要求满足特定要求。这些具体要求可以在组织的网站上找到，但在确定谁可以成为会员方面通常具有相似的特征。

以研究与教育网络信息共享与分析中心（REN - ISAC）为例，要成为其会员，需要满足以下要求：
- 该人员必须隶属于某个特定组织，并作为该组织的代表。也就是说，每个组织可能只有一个或有限数量的人可以加入。
- 候选人必须以官方身份处理计算机安全和/或事件响应工作，并对该组织或其部分的安全负责。
- 该人员必须是该组织的永久雇员。这主要是因为学生、临时雇员和合同工不适合作为组织的代表，因此不符合上述要求。
- 必须有一名现有会员为候选人担保。
- 候选人必须同意该组织的保密协议和政策。

会员审核流程

graph LR
    A[申请人提交申请] --> B[审核小组或现有会员审核信息]
    B --> C{信息是否真实且符合要求?}
    C -- 是 --> D[批准申请]
    C -- 否 --> E[拒绝申请]
    D --> F[成为会员]
    F --> G[定期审核会员状态]
    G --> H{信息是否有变化?}
    H -- 是 --> I[重新评估会员资格]
    I --> J{是否仍符合要求?}
    J -- 是 --> F
    J -- 否 --> K[撤销会员资格]
    H -- 否 --> F

保密协议

保密协议用于防止信息在组织外泄露，限制与第三方讨论的信息类型，通常在安全至关重要的环境中使用。如果你在处理安全问题的会员组织中，几乎肯定需要遵守保密协议。

可共享的信息

在会员组织中，会员可以与其他会员以及自己组织内的同行和下属共享信息。但共享信息的目的应该仅仅是为了应对威胁和提高安全性，而不是在闲聊中随意透露。

不可共享的信息

许多会员组织要求在与他人讨论信息时，不要识别其组织、其他组织或个人。发布关于第三方的信息可能会泄露组织不想透露的细节，如他们使用的服务器、防火墙信息和其他网络基础设施方面的信息。这些信息如果落入坏人手中，可能会被用于攻击系统。如果信息来源错误，传播关于第三方的虚假谣言还可能导致尴尬局面。如果要提及第三方，应该获得来源的同意和被提及组织的许可。如果没有获得使用个人或组织名称和信息的许可，就不应该在与有保密协议的组织之外讨论这些信息。可以使用假设情况和虚假名称来传达信息，避免识别涉及的人员。

违反协议的潜在影响

违反工作场所的保密协议至少可能导致你被解雇，在某些情况下，这可能还是最好的结果。医疗设施中的患者记录、警察部门的犯罪背景信息、客户的个人信息等特权信息需要得到安全保护，并受到政策和法律的控制。违反这些规定可能会导致罚款、向客户和其他第三方赔偿以及监禁。

会员组织也有政策规定违反保密协议的后果。如果协议被违反，违规者的会员资格可能会被撤销。如果情况严重，该人的公司可能会被列入黑名单，未来任何人都无法加入该会员组织。

不过，当法律要求时，可以不受保密协议的限制。在刑事调查中，你可能需要向执法部门提供信息或在作证时提供信息。如果保密协议阻止你提供信息，你可以请求签发搜查令或传票，或者在作证时可能会被命令提供信息。在这种情况下，保密协议将成为次要的，不遵守可能会被指控藐视法庭或其他罪名。

由于保密协议可能会有一定限制，因此在为客户或员工制定保密协议时，重要的是要明确规定哪些信息需要保密、何时可以讨论、哪些信息是公开的以及其他可能影响协议的问题。保密协议应作为你与另一方之间的合同，明确规定在刑事调查或其他你认为必要的情况下可以发布信息。

利益冲突

在加入会员组织之前，你应该确定是否可以与该组织的人员交换关于你的网络的信息。如果你正在处理安全问题并在这样的网站上发布信息，可能会违反与自己公司的保密协议。在这种情况下，你可能遵守了一个协议，但却违反了另一个协议。因此，在在线发布关于你的网站的问题或与其他安全专业人员讨论问题时，要清楚自己可以提供哪些信息。

不要过于担心哪些信息可以披露，哪些不可以。向你工作单位的决策者请求许可将允许你讨论信息以提高安全性。如果你对在会员组织之外可以讨论的内容有疑问，就去询问。但无论如何，永远不要透露超过必要的信息。

获取信息后的处理方法

通过会员资格、邮件列表和互联网上的其他信息，你应该能够相对及时地了解哪些威胁可能影响你的网络。利用这些信息，你可以发现可能被利用的新漏洞、需要应用的补丁和更新等，从而采取相应的措施来保护你的网络安全。例如，当发现新的漏洞时，及时查找相应的补丁并安装到系统中；对于已知的僵尸网络威胁，根据获取的清除方法进行处理。

总之，了解僵尸网络相关信息的获取渠道和管理方式对于保障网络安全至关重要。通过利用各种资源和遵守相关规定，我们可以更好地应对网络安全挑战。

网络僵尸网络情报资源与信息管理

信息整合与分析

在收集到大量关于僵尸网络的信息后，如何对这些信息进行整合与分析是关键步骤。信息整合可以帮助我们将来自不同渠道的零散信息关联起来，形成更全面的僵尸网络画像。例如，将杀毒软件网站提供的僵尸网络特征信息、专业组织发布的攻击趋势信息以及邮件列表中讨论的实际案例信息进行整合。

信息分析则可以帮助我们从整合后的信息中提取有价值的知识。可以通过数据挖掘技术，分析僵尸网络的传播模式、攻击目标偏好等。以下是一个简单的信息整合与分析流程：

graph LR
    A[收集信息] --> B[信息清洗]
    B --> C[信息分类]
    C --> D[关联分析]
    D --> E[模式识别]
    E --> F[生成报告]

• 信息清洗 ：去除重复、错误和无用的信息，确保数据的准确性和一致性。
• 信息分类 ：根据信息的类型，如病毒特征、攻击时间、受影响系统等进行分类。
• 关联分析 ：找出不同类型信息之间的关联，例如，特定病毒特征与特定攻击时间的关联。
• 模式识别 ：通过数据分析发现僵尸网络的传播模式、攻击模式等。
• 生成报告 ：将分析结果以清晰易懂的报告形式呈现，为决策提供依据。

制定应对策略

基于对僵尸网络信息的分析结果，我们可以制定相应的应对策略。应对策略可以分为预防策略、检测策略和响应策略。

策略类型	具体内容
预防策略	安装可靠的杀毒、反间谍软件和反恶意软件，及时更新系统补丁，加强员工安全意识培训等。
检测策略	建立入侵检测系统（IDS）和入侵防御系统（IPS），监控网络流量，检测异常活动。
响应策略	制定应急响应计划，当发现僵尸网络攻击时，迅速采取措施，如隔离受感染设备、清除僵尸网络等。

在制定应对策略时，需要根据自身网络的特点和需求进行调整。例如，对于大型企业网络，可能需要更复杂的检测和响应机制；而对于小型企业或个人用户，重点可能在于预防和简单的检测。

持续监控与更新

网络安全是一个动态的过程，僵尸网络也在不断发展和变化。因此，持续监控网络安全状况并及时更新应对策略是非常重要的。

持续监控可以通过多种方式实现，如定期审查安全日志、监控网络流量、参与安全社区的讨论等。通过持续监控，可以及时发现新的僵尸网络威胁和潜在的安全漏洞。

及时更新应对策略则是根据监控结果和最新的安全信息，对现有的预防、检测和响应策略进行调整和优化。例如，如果发现某种新型僵尸网络的传播方式发生了变化，就需要相应地调整检测和预防措施。

与其他组织合作

在应对僵尸网络威胁时，与其他组织合作可以共享信息、资源和经验，提高整体的网络安全防护能力。可以与同行业的企业、安全专业组织、政府机构等建立合作关系。

合作的方式可以包括信息共享、联合研究、应急响应协作等。例如，企业之间可以共享僵尸网络的攻击信息，帮助彼此更快地发现和应对威胁；安全专业组织可以组织联合研究项目，共同开发更有效的检测和清除技术；政府机构可以在法律和政策层面提供支持，打击僵尸网络犯罪。

总结

网络僵尸网络是当今网络安全面临的重要威胁之一。通过获取僵尸网络相关信息、进行信息管理、制定应对策略、持续监控和更新以及与其他组织合作等一系列措施，我们可以更好地应对僵尸网络威胁，保障网络的安全稳定运行。

在实际操作中，要注意信息的真实性和可靠性，遵守保密协议和相关规定，避免因信息泄露或违规操作带来的风险。同时，要不断学习和掌握新的网络安全知识和技术，提高自身的安全防护能力。只有这样，我们才能在复杂多变的网络环境中有效地抵御僵尸网络的攻击。