基于PDF文檔傳播的實(shí)驗(yàn)性僵尸網(wǎng)絡(luò)的研究.pdf

1、隨著互聯(lián)網(wǎng)的迅速發(fā)展，信息化時(shí)代從根本上改變著人們的工作和生活方式，一方面使得辦公和娛樂(lè)越來(lái)越便利，另一方面也帶來(lái)了嚴(yán)重的安全問(wèn)題。尤其是近年來(lái)由傳統(tǒng)的木馬和蠕蟲(chóng)發(fā)展而來(lái)的僵尸網(wǎng)絡(luò)已經(jīng)日趨成熟，作為一種新型的通用攻擊平臺(tái)，在網(wǎng)絡(luò)犯罪中扮演者越來(lái)越重要的角色。不同于以往的惡意代碼進(jìn)行單純地破壞，僵尸網(wǎng)絡(luò)可以為攻擊者帶來(lái)巨大的經(jīng)濟(jì)收益，比如攻擊競(jìng)爭(zhēng)對(duì)手的服務(wù)器造成DDos，大量發(fā)送垃圾廣告短信收取費(fèi)用，盜取銀行賬號(hào)獲得資金，甚至廉價(jià)出售竊取

2、的用戶(hù)隱私來(lái)獲取利益。這說(shuō)明僵尸網(wǎng)絡(luò)已經(jīng)從工作和生活的各個(gè)方面嚴(yán)重威脅著人們的安全，因此也引起了越來(lái)越多人們的關(guān)注。另一方面，PDF文檔在辦公領(lǐng)域迅速普及，隨之而來(lái)的專(zhuān)門(mén)針對(duì)PDF文檔惡意代碼飛速增長(zhǎng)。由于PDF文檔在日常生活和工作中的重要作用，使得其成為了一種有效地惡意代碼傳播媒介。對(duì)于僵尸網(wǎng)絡(luò)而言其獲得的經(jīng)濟(jì)收益與網(wǎng)絡(luò)規(guī)模成正相關(guān)，因此如何快速有效地感染新的主機(jī)擴(kuò)大自身網(wǎng)絡(luò)的規(guī)模是關(guān)鍵問(wèn)題之一。本文基于對(duì)僵尸網(wǎng)絡(luò)和惡意PDF文檔的研

3、究，提出借助PDF文檔傳播僵尸網(wǎng)絡(luò)的新思路，在此基礎(chǔ)之上研究應(yīng)對(duì)的方法，為將來(lái)可能出現(xiàn)的新威脅提前做好準(zhǔn)備。
　　 本文首先介紹當(dāng)前僵尸網(wǎng)絡(luò)的發(fā)展現(xiàn)狀和研究熱點(diǎn)，力圖揭示現(xiàn)實(shí)中僵尸網(wǎng)絡(luò)所使用的關(guān)鍵性技術(shù)，如命令與控制信道結(jié)構(gòu)，作用機(jī)制等，以此為編寫(xiě)測(cè)試用的實(shí)驗(yàn)性僵尸網(wǎng)絡(luò)提供參考。其次介紹了PDF文檔的結(jié)構(gòu)知識(shí)，重點(diǎn)分析了PDF文檔的物理結(jié)構(gòu)和邏輯結(jié)構(gòu)，把握物理結(jié)構(gòu)利于確定想PDF文檔中嵌入關(guān)鍵代碼的方式和位置選擇，而分析邏輯結(jié)構(gòu)

4、則幫助我們能夠遵循PDF文檔規(guī)范修改文檔，保證PDF文檔的有效性。在此基礎(chǔ)上，簡(jiǎn)單歸納了當(dāng)前PDF文檔惡意代碼的利用方式，在分析最新公布的兩個(gè)漏洞的基礎(chǔ)上介紹了利用PDF中的Javascript激活生效的關(guān)鍵思路。然后編寫(xiě)實(shí)驗(yàn)性的僵尸網(wǎng)絡(luò)，采用UDP通信建立C/S中心結(jié)構(gòu)拓?fù)?介紹了目前主流的遠(yuǎn)程注入技術(shù)的原理，并利用該技術(shù)實(shí)現(xiàn)客戶(hù)端進(jìn)程的隱藏;利用注冊(cè)系統(tǒng)服務(wù)的技術(shù)實(shí)現(xiàn)客戶(hù)端隨機(jī)自啟動(dòng)，基本實(shí)現(xiàn)僵尸網(wǎng)絡(luò)的功能。最后將以上兩方面結(jié)合起來(lái)