第1章 僵尸网络:呼吁行动 1
前言 2
网络程序杀手 3
问题有多大? 3
僵尸网络的概念史 4
僵尸病毒的新闻案例 11
业界反响 15
小结 15
快速回顾 16
常见问题 17
第2章 僵尸网络概述 19
什么是僵尸网络? 20
僵尸网络的生命周期 20
漏洞利用 21
召集和保护僵尸网络客户端 24
等候命令并接受payload 27
僵尸网络究竟做什么? 28
吸收新成员 28
DDoS 31
广告软件(Adware)和Clicks4Hire的安装 33
僵尸网络垃圾邮件和网络钓鱼连接 35
存储和分配偷窃或非法(侵犯)知识产权的信息资料 37
勒索软件(Ransomware) 41
数据挖掘 41
汇报结果 41
销毁证据,放弃(僵尸)客户端 41
僵尸网络经济 42
垃圾邮件和网络钓鱼攻击 42
恶意广告插件和Clicks4Hire阴谋 43
Ransomware勒索软件 45
小结 45
快速回顾 46
常见问题 48
第3章 僵尸网络C&C的替换技术 51
简介:为什么会有C&C的替换技术? 52
追溯C&C的发展历史 53
DNS和C&C技术 53
域名技术 54
多宿(Multihoming) 54
可替换控制信道 55
基于Web的C&C服务器 55
基于回声的僵尸网络 55
P2P僵尸网络 57
即时消息(IM)C&C 57
远程管理工具 58
降落区(drop zone)和基于FTP的C&C 58
基于DNS的高级僵尸网络 60
小结 61
快速回顾 62
常见问题 62
第4章 僵尸网络 63
简介 64
SDBot 64
别名 64
感染途径 65
被感染的标志 65
注册表项 66
新生成的文件 67
病毒传播 67
RBot 68
别名 68
感染途径 68
被感染的标志 68
Agobot 72
别名 72
感染途径 72
被感染的标志 73
传播 75
Spybot 76
别名 76
感染途径 76
被感染的标志 77
注册表项 77
不正常的流量 79
传播 79
Mytob 80
别名 80
感染途径 81
被感染的标志 81
系统文件夹 81
不正常的流量 81
传播 81
小结 82
快速回顾 83
常见问题 84
第5章 僵尸网络检测:工具和技术 87
简介 88
滥用 88
垃圾邮件和滥用 91
网络设施:工具和技术 92
SNMP和网络流:网络监控工具 94
防火墙和日志 97
第二层的交换机和隔离技术 98
入侵检测 101
主机的病毒检测 104
作为IDS例子的Snort 109
Tripwire 112
暗网、蜜罐和其他陷阱 114
僵尸网络检测中的取证技术和工具 116
过程 117
事件日志 119
防火墙日志 125
反病毒软件日志 127
小结 134
快速回顾 134
常见问题 137
第6章 Ourmon:概述和安装 139
简介 140
案例分析:在黑暗中跌撞前行的事情 141
案例1:DDoS(分布式拒绝服务) 141
案例2 外部并行扫描 143
案例3 僵尸客户端 144
案例4 僵尸服务器 145
Ourmon如何工作 146
Ourmon的安装 149
Ourmon安装提示和窍门 151
小结 153
快速回顾 153
常见问题 154
第7章 Ourmon:异常检测工具 157
简介 158
Ourmon网页接口 158
原理简介 162
TCP异常检测 163
TCP端口报告:30秒视图 164
TCP蠕虫图表 170
TCP每小时摘要 171
UDP异常检测 173
E-mail异常检测 175
小结 177
快速回顾 178
常见问题 179
第8章 IRC和僵尸网络 181
简介 182
IRC协议 182
Ourmon的RRDTOOL统计与IRC报告 185
IRC报告的格式 185
检测IRC僵尸网络客户端 190
检测IRC僵尸网络服务器 194
小结 197
快速回顾 197
常见问题 198
第9章 ourmon高级技术 201
简介 202
自动包捕获 202
异常检测触发器 203
触发器应用实例 205
Ourmon事件日志 209
搜索Ourmon日志的技巧 209
嗅探IRC消息 212
优化系统 215
买一个双核(Dual-Core)CPU 216
使用不同的电脑,分开前端与后端 216
买一个双核,双CPU的主板 217
扩大内核的环缓存 217
减少中断 218
小结 218
快速回顾 218
常见问题 220
第10章 使用沙盒工具应对僵尸网络 221
简介 222
CWSandbox介绍 223
组件介绍 226
检查分析报告的样本 231
〈analysis〉部分 231
分析82f78a89bde09a71ef99b3ced b991bcc.exe 232
分析Arman.exe 233
解释分析报告 237
僵尸病毒是如何安装的? 238
病毒如何感染新主机 239
僵尸病毒如何保护本地主机和自己? 240
联系哪个C&C服务器以及如何联系 243
僵尸病毒如何更新? 244
进行了什么样的恶意操作? 245
在线沙盒对僵尸病毒的监测结果 249
小结 251
快速回顾 252
常见问题 253
第11章 情报资源 255
简介 256
辨别企业/大学应该尽力收集的信息 256
反汇编 258
可找到公用信息的地方/组织 260
反病毒、反间谍软件、反恶意软件的网页 260
专家和志愿者组织 261
邮件列表和讨论团体 263
会员组织以及如何获得资格 263
审查成员 264
保密协议 264
什么可以共享 264
什么不能共享 264
违背协议的潜在影响 265
利益冲突 265
获取信息时如何处理 266
情报收集在法律相关的执行方面扮演的角色 267
小结 267
快速回顾 268
常见问题 269
第12章 应对僵尸网络 271
简介 272
放弃不是一个选项 272
为什么会有这个问题? 273
刺激需求:金钱,垃圾邮件,以及网络钓鱼 274
法律实施问题 275
软件工程的棘手问题 276
缺乏有效的安全策略或者过程 277
执行过程中的挑战 278
我们应该做什么? 279
有效的方法 279
如何应对僵尸网络? 282
报告僵尸网络 283
绝地反击 284
法律的实施 288
暗网、蜜罐和僵尸网络颠覆 288
战斗的号角 290
小结 291
快速回顾 291
常见问题 293