如何辨别身边的“僵尸”

近日，华北某重要客户接到信息安全主管部门的通告，称其网络中存在大量僵尸主机并对外发起了有组织的慢速扫描和DDoS-HTTPs（针对Web的拒绝服务）攻击。恰逢敏感时间节点，所以此安全事件造成了一定程度的负面影响。

跟大多数政企用户相似，该用户网络大量采用了NAT（地址转换）机制，并由于慢速、随机波动的攻击节奏，现有网络安全设备均未报告此次事件。

在接到客户需求之后，东软NTAD全流量安全检测系统迅速进场部署，监控了该客户Internet出口的所有流量，通过全流量检测机制实现全维度的安全分析，通过全报文存储与回溯提供无可辩驳的原始包取证。

在这次安全服务中，NTAD系统主要依靠内置的DGA检测模块由固定域名解析出动态IP

为了避免这种情况，僵王博士又想出新的招数：给自己申请了固定域名，但对应的IP地址是经常变的。各僵尸主机首先解析这个域名，获得动态变化的IP，然后再发起C&C通信。这种方式，可以逃避相当一部分安全设备的检测拦截。但随着安全技术的发展，僵王博士的固定域名也很快被拉入了黑名单，包括其对应的IP地址；

03由动态域名解析出动态IP

僵王博士一想，干脆咱们连域名也变起来，大家约定一个规律，实时测算当前僵尸博士可能使用的域名，这个规律就是DGA。受控主机通过解析这个动态变化的域名获得动态变化的IP，从而使C&C通信变得更加飘忽不定、难以拦截。

NTAD系统对DGA的专门设计

东软NetEye网络审计与全流量分析检测系统(NTAD)是基于原始报文解析技术的流量安全可视化分析设备，完整覆盖了流量流向、异常分析、协议识别、性能监控、攻击检测、威胁情报、回溯取证等诸多环节，面向全流量、全协议、全维度提供检测服务。产品支持镜像、分光、TAP等采样机制，可通过旁路方式部署在网络边界、核心交换、服务器汇聚、终端接入等各种拓扑位置，能够为全网流量担当统一的分析回溯平台，一站式满足多种安全合规要求。

NTAD全流量分析系统DGA检测模块，正是瞄准了僵尸博士的这个动态域名机制，通过对DGA域名算法预先测算和实时检查，及时侦测僵王与僵尸网络、病毒的C&C通信行为，并在大规模攻击爆发之前发现受控主机的存在。

僵尸网络的行为指标

在DGA分析页面中，有几个指标需要我们格外留意：

• DGA家族：这个指标，指的是发现了多少个僵尸家族，一个僵尸家族有可能存在多个僵王博士来管理肉鸡；
• 趋势：表示NTAD侦测到有多少次针对僵王博士域名的DNS解析行为。这种行为，通常是大规模爆发前的预兆；
• 受害主机：指的是哪些主机发出了针对僵王博士的DNS解析报文，他们一般都是沦陷了的无辜群众；
• 攻击主机：指的是受害主机在DNS解析报文中想得到哪些僵王博士的IP。

关联分析发现僵王的家族关系

在DGA关联分析板块中，NTAD全流量分析系统将按照域名、家族两个维度，清晰展现各受控主机、僵王博士跟他们的隶属关系，每个DGA图群都可以被拖动，而且各个节点都会随着拖动而扭曲摇曳、自动摆正对齐，像僵尸，像草履虫，也有点儿像水母。

利用NTAD系统的DGA检测模块，能够准确预知当前各大僵王博士启用的域名和通信行为，进而发现僵王以及各受控肉鸡的存在。

东软NTAD全流量安全检测系统，是专业级的网络安全基础支撑设备。