僵尸网络

第1章僵尸网络：呼吁行动

前言

网络程序杀手

问题有多大？

僵尸网络的概念史

僵尸病毒的新闻案例

业界反响

小结

快速回顾

常见问题

第2章僵尸网络概述

什么是僵尸网络？

僵尸网络的生命周期

漏洞利用

召集和保护僵尸网络客户端

等候命令并接受payload

僵尸网络究竟做什么？

吸收新成员

DDoS

广告软件（Adware）和Clicks4Hire的安装

僵尸网络垃圾邮件和网络钓鱼连接

存储和分配偷窃或非法（侵犯）知识产权的信息资料

勒索软件（Ransomware）

数据挖掘

汇报结果

销毁证据，放弃（僵尸）客户端

僵尸网络经济

垃圾邮件和网络钓鱼攻击

恶意广告插件和Clicks4Hire阴谋

Ransomware勒索软件

小结

快速回顾

常见问题

第3章僵尸网络C＆C的替换技术

简介：为什么会有C8LC的替换技术？

追溯C&C的发展历史

DNS和C&C技术

域名技术

多宿（Multihoming）

可替换控制信道

基于Web的C＆C服务器

基于回声的僵尸网络

P2P僵尸网络

即时消息（IM）C&C

远程管理工具

降落区（dropzone）和基于FTP的C&C

基于DNS的高级僵尸网络

小结

快速回顾

常见问题

第4章僵尸网络

简介

SDBot

别名

感染途径

被感染的标志

注册表项

新生成的文件

病毒传播

RBot

别名

感染途径

被感染的标志

Agobot

别名

感染途径

被感染的标志

传播

Spybot

别名

感染途径

被感染的标志

注册表项

不正常的流量

传播

Mytob

别名

感染途径

被感染的标志

系统文件夹

不正常的流量

传播

小结

快速回顾

常见问题

第5章僵尸网络检测：工具和技术

简介

滥用

垃圾邮件和滥用

网络设施：工具和技术

SNMP和网络流：网络监控工具

防火墙和日志

第二层的交换机和隔离技术

入侵检测

主机的病毒检测

作为IDS例子的Snort

Tripwire

暗网、蜜罐和其他陷阱

僵尸网络检测中的取证技术和工具

过程

事件日志

防火墙日志

反病毒软件日志

小结

快蘧回顾

常见问题

第6章Ourmon：概述和安装

简介

案例分析：在黑暗中跌撞前行的事情

案例1：DDoS(分布式拒绝服务)

案例2外部并行扫描

案例3僵尸客户端

案例4僵尸服务器

Ourmon如何工作

Ourmon的安装

Ourmon安装提示和窍门

小结

快速回顾

常见问题

第7章Ourmon：异常检测工具

简介

Ourmon网页接口

原理简介

TCP异常检测

TCP端口报告：30秒视图

TcP蠕虫图表

TCP每小时摘要

UDP异常检测

E_mail异常检测

小结

快速回顾

常见问题

第8章IRC和僵尸网络

简介

IRC协议

Ourmon的RRDT00L统计与IRC报告

IRC报告的格式

检测IRC僵尸网络客户端

检测IRC僵尸网络服务器

小结

快速回顾

常见问题

第9章ourmon高级技术

简介

自动包捕获

异常检测触发器

触发器应用实例

Ourmon事件日志

搜索Ourmon日志的技巧

嗅探IRC消息

优化系统

买一个双核(DualCore)CPU

使用不同的电脑，分开前端与后端

买一个双核，双CPU的主板

扩大内核的环缓存

减少中断

小结

快速回顾

常见问题

第10章使用沙盒工具应对僵尸网络

简介

CWSandbox介绍

组件介绍

检查分析报告的样本

部分

分析82f78a89bde09a71ef99b3cedb991bcc．exe

分析Arman．exe

解释分析报告

僵尸病毒是如何安装的?

病毒如何感染新主机

僵尸病毒如何保护本地主机和自己?

联系哪个C&C服务器以及如何联系

僵尸病毒如何更新?

进行了什么样的恶意操作?

在线沙盒对僵尸病毒的监测结果

小结

快速回顾

常见问题

第11章情报资源

简介

辨别企业／大学应该尽力收集的信息

反汇编

可找到公用信息的地方／组织

反病毒、反间谍软件、反恶意软件的网页

专家和志愿者组织

邮件列表和讨论团体

会员组织以及如何获得资格

审查成员

保密协议

什么可以共享

什么不能共享

违背协议的潜在影响

利益冲突

获取信息时如何处理

情报收集在法律相关的执行方面扮演的角色

小结

快速回顾

常见问题

第12章应对僵尸网络

简介

放弃不是一个选项

为什么会有这个问题?

刺激需求：金钱，垃圾邮件，以及网络钓鱼

法律实施问题

软件工程的棘手问题

缺乏有效的安全策略或者过程

执行过程中的挑战

我们应该做什么?

有效的方法

如何应对僵尸网络?

报告僵尸网络

绝地反击

法律的实施

暗网、蜜罐和僵尸网络颠覆

战斗的号角

小结

快速回顾

常见问题

　　《僵尸网络(网络程序杀手)》从一个真实的僵尸网络攻击案例开始，随后结合实例介绍僵尸网络的基础知识，包括僵尸网络的概念、运行方式和环境、生命周期等。紧接着介绍僵尸网络的检测、跟踪工具和技术，以及Ourmon和沙盒工具的使用，最后讲解了如何获取情报资源及如何应对僵尸网络。　　网络技术飞速发展．病毒、蠕虫、木马等不断涌现，而僵尸网络则是“网络程序杀手”，其危害远远高于以前的恶意脚本，已经成为网络社会所面临的最大威胁。　　本书从一个真实的僵尸网络攻击案例开始，随后结合实例介绍僵尸网络的基础知识，包括僵尸网络的概念、运行方式和环境、生命周期等。紧接着介绍僵尸网络的检测、跟踪工具和技术，以及0urmon和沙盒工具的使用，最后讲解了如何获取情报资源及如何应对僵尸网络。【作者简介】　　CraigA．Schiller(CISSP-ISSMP，ISSAP)波特兰州立大学首席信息安全官；鹰眼安全培训有限公司总裁；最早的公认系统安全准则(GASSP)的主要作者，与他人合著HandbookofInformationSecurityManagement，DataSecurityManagement的特约作者。Craig先生也参与编写了CombatingSpywareintheEnterprise(Syngress，ISBN：1597490644)和WinternalsDefragmentation，Recovery，andAdministrationFieldGuide(Syngress，ISBN：1597490792)。他是高级网络安全工程师并负责美国宇航局航空情报服务处信息安全组。他负责美国俄勒冈州hillisboro警察局警察储备专家部门。