2020Botnet趋势报告 | 僵尸网络攻击速度更快,手段多元更隐匿

Botnet是网络恶意行为的手段而非结果,其存在直接体现着“威胁”本身。通过组建Botnet,黑客得以控制大量的网络资源,获取强大的攻击能力。依托于这种攻击能力,黑客可以使用各种方式获取非法的经济利益。

近年来,从Gafgyt、Mirai到GoBrut、BigViktor、Mozi、Pink,我们观察到Botnet升级改造的变化之巨。其非法控制并改造大量的网络资源,不断提升攻击能力,逐渐增加隐匿手段,从而给有限的网络资源造成了愈发严重的损失。

在过去的2020年,尽管全球遭受了新冠疫情的袭击,但僵尸网络的活动并未受到疫情的影响,更加活跃。

基于此,绿盟科技发布《2020 BOTNET趋势报告》,报告聚焦于Botnet的整体趋势分析,通过CNCERT物联网威胁情报平台及绿盟威胁识别系统对Botnet持续监测追踪获取的第一手数据,来描述2020Botnet的整体发展情况以及特色家族的变迁情况,进而对数据进行解读并提炼观点。

2020Botnet趋势报告

报告主要观点

观点一

IoT环境仍然是各类漏洞攻击的重灾区,且攻击用到的漏洞年代跨度相对较长;IoT设备往往运行在长期缺乏人为干预的环境下,由于IoT厂商众多,技术水平和设备质量参差不齐并且初始密码固定,使得攻击者可以自动化入侵此类设备,构建起数量众多的僵尸网络节点。

观点二

2020年Botnet与垃圾邮件深度绑定,以新冠肺炎为主题的诱饵邮件散播大量的传统木马;2020年爆发的新冠疫情影响范围之广,社会影响力之大,绝非同期其他社会事件可比。恶意邮件僵尸网络的控制者没有放过这一绝佳机会,快速构建了各种语言、各种体裁的疫情话题诱饵邮件并大量投放,积极扩大邮件木马的影响范围。

观点三

DDoS僵尸网络的家族活动仍然以Mirai和Gafgyt为代表的传统IoT木马家族为主。

观点四

僵尸网络在横向移动方面的探索愈加深入,在漏洞利用方面逐渐具备了“当天发现,当天利用”的能力;伏影实验室在检测僵尸网络威胁与网络攻击事件时发现,Mirai变种Fetch家族使用了最新的攻击链进行攻击,而在发现该攻击事件的前3个小时左右,国外论坛才刚刚披露相关利用。这足以说明:僵尸网络运营者的情报转化能力已经远远超出防御方的固有认知。

观点五

僵尸网络在对抗性方面展现出特殊变化,攻击者开始针对一些开源的蜜罐进行分析并采取反制策略。

观点六

在控制协议方面,僵尸网络家族加速向P2P控制结构转变。2020年以来,Mozi、BigViktor等使用P2P协议控制僵尸网络节点的僵尸网络异常活跃,逐步侵蚀Mirai、Gafgyt等传统僵尸网络家族的地盘,尽管新兴僵尸网络家族控制节点数量较少,但由于其控制协议的特殊性,导致这类僵尸网络很难被关闭。因此,未来Mozi、BigViktor这类以P2P协议为主的僵尸网络将逐步占据主流地位。

观点七

部分僵尸网络开始改变发展模式,即先聚焦传播入侵,待占领肉鸡而后再完善木马功能。

观点八

僵尸网络运营者已经能够将威胁情报、开源社区情报快速转化为攻击手段,逐步扩大攻击、防御的时间差与信息差,通过快速部署和迭代,持续提升对互联网设备和用户的威胁能力。

观点九

Botnet控制者的行为愈发谨慎,头部运营者控制的僵尸网络不断向高隐匿性发展。

观点十

APT组织攻击平台多样化。

在绿盟科技微信公众号后台回复“Botnet报告”即可获取完整版报告

(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )