僵尸网络(Botnet)是当今互联网威胁的重要载体。DDoS攻击、广告捆绑、挖矿、信息窃取等行为持续依托Botnet进行活动,而某些勒索软件会通过Botnet进行传播,甚至APT攻击也开始使用Botnet探路。近年来,越来越多的Botnet开始使用BaaS(Botnet as a Service)的方式提供服务,该方式降低了不法分子进行持续威胁的成本,同时也提高了他们控制Bonet的便利性。这导致Botnet数量不断攀升,规模不断扩大,严重危害互联网生态环境,故需要对其进行持续跟踪。
通过对Botnet的持续研究和追踪,绿盟科技伏影实验室发布《2019 Botnet趋势报告》,从入侵、传播方式和威胁种类及方式等方面深度剖析2019年Botnet威胁趋势。
入侵与传播方面,弱口令、远程漏洞利用和钓鱼邮件依然是三种主要手段。持续威胁方面呈现以下特点:
特点一
Go语言恶意软件组成的Botnet不断发展,爆破型家族GoBrut便是其中之一。
特点二
DDoS恶意家族进一步集中于少数几个家族,UDP泛洪攻击比例有所上升。
特点三
勒索家族持续谋取暴利,效仿者不断涌现,产业化程度不断加强。
特点四
银行木马与勒索家族之间合作更加频繁,使得受害者同时面临多重安全风险。
特点五
广告捆绑软件持续通过静默安装获利,同时也是传播恶意软件的重要渠道。
此外,移动端安全乱象丛生,已然是各类Botnet发展的重要空间。而APT组织持续与某些Botnet组织勾结以隐藏行踪,加大了检测难度。
重要观点
观点一
Botnet的隐匿和盈利方面,其BaaS (Botnet as a Service)模式日益强化,各部分的阶段独立性加强,单个C&C下挂Bot数量也刻意消减,反映了网络犯罪集团为对抗打击而采取化整为零、简化攻击操作、扩大受众和降低成本等操作,以达到增强持续变现能力的目的。
观点二
Botnet扩展方面,弱口令、漏洞利用和钓鱼邮件仍然是现网入侵和传播的主要手段;在旧有漏洞利用技术早已成熟的基础上,攻击者持续关注新披露的漏洞,用于快速感染新目标以扩张Botnet;钓鱼邮件攻击作为一种社会工程学手段,在邮箱地址泄露频繁的情况下,加强了攻击定向性。
观点三
Botnet持续威胁方面,爆破活动逐渐从Botnet的爆破功能中独立出来,由专项爆破家族实施;广告捆绑推广软件和被推广软件为了获利,分别持续采取静默安装和广告弹窗等技术,甚至出现了传播恶意软件这种“白夹黑”的情况,其利益链条和安全风险更需进行深入跟踪;DDoS攻击方面,UDP泛洪攻击比例进一步提升,云/VPS平台承受的攻击流量愈发增多,DDoS恶意家族向少数家族(Gafgyt和Mirai等)进一步集中;勒索软件“前仆后继”, 随着部分旧家族的退出,其暴利收割现状促使更多不法分子加入“行业大军”,产业化程度不断上升;银行木马由单打独斗向多种攻击方式融合,不同银行木马之间合作加强,而且与某些勒索软件的勾结也愈发严重,只为榨干受害者的钱财,使其遭受经济与数据的双重损失。
观点四
移动平台亦是Botnet威胁的重要发展面,其恶意软件种类数量不逊于PC端,广告软件、银行木马、勒索软件等应有尽有,并对诸如Android手机、平板电脑等存有重要个人信息的设备构成严重威胁。而像Android电视盒子等设备因为远离用户管控,因而更多受到挖矿木马的青睐。
观点五
Botnet依然是APT组织维护其持续性威胁的重要方式之一,2019年出现APT组织勾结其他Botnet组织进行攻击的现象,通过利用其现有成熟的组件和C&C达到隐藏自身活动痕迹的目的,使得未来发现与检测APT攻击活动的难度大幅上升。
观点六
防御Botnet的根本在于避免出现各种设备和人为漏洞,但网络安全具有木桶效应,其环境复杂性、新技术多样性和大众安全意识淡薄性导致问题频发。因此,各企业需要进一步加强系统的升级维护和员工安全教育,以提升软件及设备的安全性与人员的安全意识。
更多详情,请关注由绿盟科技伏影实验室发布《2019 Botnet趋势报告》。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。