《2023年度Botnet趋势报告》.docx

《《2023年度Botnet趋势报告》.docx》由会员分享，可在线阅读，更多相关《《2023年度Botnet趋势报告》.docx（52页珍藏版）》请在优知文库上搜索。

1、SINa1.NoUOl执行摘要02僵尸网络发展趋势2.1 针对关基的攻击愈演愈烈，教育行业尤为严重2.2 僵尸网络成为高级威胁攻击的跳板03僵尸网络入侵与感染全景3.1 路由器成为最常被攻击的设备3.2 携带漏洞年代跨度大，不断集成新漏洞3.3 Mirai家族控制设备数最多04僵尸网络攻击全景4.1 QakBot前三季度C&C数量庞大，Mirai新增C&C数量持续增多4.2 美国控制的C&C数量最多，国内C&C主要分布在沿海地区43Mirai下发指令数最多，UDP类型的DDoS攻击方式备受僵尸网络青睐10111213151617184.4 僵尸网络发起的DDoS攻击活动于年底猛增194.5 中

2、美两国遭受攻击最为严重194.6 国内发达地区更易遭受攻击20054.7 络的发展与对抗215.1 1.inUX/1。T平台新兴家族与变种频繁活跃225.2 Windows平台僵尸网络木马家族对抗性持续增强285.3 新兴家族攻击方式与反追踪思路推陈出新305.4 僵尸网络新兴团伙活动3506未来展望一僵尸网络发展趋势预测43甚甚论法学科砥D执行摘要2023年，全球网络安全环境持续恶化，僵尸网络发动的攻击活动日益猖獗。这些活跃的僵尸网络所展现出的特征，与绿盟科技伏影实验室去年的预测高度吻合。入侵与感染方面，随着网络设备和接口数量的高速增长，攻击者可利用的暴露面也在不断扩大。弱口令、安全漏洞、钓

3、鱼网站与邮件、社交工程等入侵手段仍然备受攻击者的青睐。受害者的地理分布与当地经济条件密切相关，发达地区的网络安全风险尤为突出，容易成为僵尸网络的重点攻击目标。关键基础设施遭受攻击的情况日益严重，网络安全建设薄弱的部门成为攻击者渗透的首选目标，其中教育行业尤为明显。文件侧隐匿方面，僵尸网络新家族除了使用常规的规避手段以外，混淆视听正在流行，混淆视听是指通过使用已知家族代码对杀毒软件检测结果进行混淆，隐匿新家族身份。编程语言选择上，使用Golang,Rust等易编程语言的木马家族数量正持续增加，这类语言构建时的打包、内联特性会在二进制层面增加了数量巨大的额外代码，在某种程度上对静态分析检测造成困难

4、。此外，攻击者向木马主动或被动添加垃圾与冗余代码，导致恶意软件体积扩大，进而影响杀软的判断与识别。通信侧隐匿方面，除隧道、DGA外，近两年一些新型对抗手段也在走向实践。攻击者深知僵尸网络追踪的一般思路，在通信细节处做出修改，为安全检测与研究制造障碍。OpenNICxCIouDNS这类非传统DNS解析方式逐渐兴起，被用来隐藏C&C真实IP地址；使用云笔记作为木马托管平台的活动开始增多，这种手段作为云平台充当C&C形式的扩展延伸，在流量侧与IP侧均实现了隐藏效果；此外，利用第三方平台检测家庭或机房IP以及被动连接上线机制亦有现身，旨在对抗在线沙箱检测。扩大影响力方面，越来越多的僵尸网络团伙采取高调

5、宣传策略，他们直接利用互联网进行宣传，将YouTube.TWitter这样的社交媒体作为他们的活动阵地。此外，即时通讯平台亦是这些团伙的活动聚集地，如QQ,Discord及Telegram,这些通讯平台因用户多和隐匿性强而受到众多攻击者的欢迎。发展轨迹方面，僵尸网络团伙在攫取利益方面有着大而统一的发展总路线。主要体现在从无到有、从低到高、从单平台到多平台、从单一业务到DDoS和挖矿通吃的过程。部分中小团伙路线清晰,在追求自主性的同时兼顾初创效率，快速搭建业务框架以期缩短回本时间，待业务框架稍有成形，再做添砖加瓦活动。有的团伙变更频繁甚至反复，在保持弹性、兼顾利益与效率方面不断尝试探索。还有团伙

6、实现了身份拔高与业务转型，从无人问津的木马托管者才凿身一变，成为攻击活动的控制者与运营者。此外，我们也观察到一些大型团伙的身影，他们大肆发展线上与线下人员，组织起一个层次分明而灵活多变的攻击团伙，以尽可能扩大攻击面，来窃取更多的用户数据以求变现。此外，随着世界局势的复杂变化，更高级别的势力开始渗入，也让部分僵尸网络开始介Ai也缘政治。0僵尸网络发展趋势2.1 针对关基的攻击愈演愈烈，教育行业尤为严重2023年，关键基础设施遭受分布式拒绝服务（DDoS）攻击的事件频繁发生。二月，德国多家机场遭受DDoS攻击，导致网站无法访问。六月，希腊教育部遭遇严重的DDoS网络攻击，全国考试受到干扰。同期，D

7、arknetParIiament黑客联盟将目标对准西方银行和SWIFT网络，实施大规模DDoS攻击活动。绿盟科技伏影实验室依托全球威胁狩猎系统，全年累计监测到1400余起较大规模的由僵尸网络发起的针对关键基础设施的攻击活动。从时间分布来看，攻击活动在八月与九月最为频繁，单月最高可达350起。400350300250200500MiraiXORDDoS Gafgythailbot other图2.2攻击关键基础设施家族分布遭受攻击的关键基础设施有半数分布在国内（50%）,其次是美国（20%）,澳大利亚（5%）和加拿大（3%）。其中，国内以香港、江苏省、北京市受攻击最为严重。中国美国澳大利亚加拿大

8、德国法国U新加坡波兰U俄罗斯U荷兰U其他图2.3遭受DDoS攻击的关键基础设施的地理分布杏港特别行政区江苏省北京市广东省图2.4遭受攻击的关键基础设施国内分布从受攻击的关键基础设施的行业分布来看,教育行业遭受的攻击最为严重，39%的攻击活动都针对该行业,其次是电力（34%）和金融行业（12%）,此外，政府机构，航空业以及能源部门也受到波及。图2.5遭受攻击的关键基础设施的行业分布2.2 僵尸网络成为高级威胁攻击的跳板僵尸网络控制者将失陷主机利益最大化的尝试一直未曾减弱,使得其攻击活动呈现复杂化、多元化趋势，常被用来传播其他各类恶意软件。此外，还存在着僵尸网络与其他高级威胁攻击相互配合的情况，形

9、成了复杂的攻击链，在此过程中充当排头兵角色，为后续APT或勒索活动提供关键的跳板作用。伪装力激活工,破解财百存田B的竣管图2.6僵尸网络成为其他高级威胁跳板在1.inuxZIoT平台上，虽有DDoS僵尸网络占据主导地位，但新兴的具备后门及代理能力的家族亦在不断出现。此外，1.inuxAoT僵尸网络大多通过较为陈旧的漏洞进行构建与扩展，即攻击者采用普通手法就能轻易突破防线，这有利于其再次利用相同途径投放高定制化和强隐匿性工具，极大增加了网络安全风险。WindOWS平台上，多有以服务提供者身份存在的僵尸网络，为其他类恶意软件提供投递渠道，这使得它们具备了作为APT哨兵的天然优势。上述情况使得僵尸网

10、络在APT攻击活动中的参与度逐渐上升，一方面体现在基础设施的复用上。Andromeda僵尸网络是一个较为古老”的僵尸网络，最早于20lI年开始活跃，常被用于传播其他恶意软件，后因受多国执法机构联合打击而覆灭。然而在2022年后期至2023年初，APT组织Turla通过注册Andromeda已失效的C&C,并经潜伏后下发部署了TU也常用的KoPi1.UWak和QUIETCANARY恶意软件进行后续攻击活动。另一方面，僵尸网络家族木马本体介入了APT活动的后渗透阶段。Amadey木马于20I8年IO月左右出现在国外黑客论坛，具备远程受控、信息窃取、脚本执行、DDoS攻击以及内网横移等威胁能力。20

11、23年II月，该家族被发现出现在APT组织盲眼鹰的攻击活动中。攻击者在其惯用的PDF鱼叉钓鱼攻击链中使用该家族，将其作为攻击载荷来加载运行。由此可见，APT组织会不断尝试新的攻击手段，将僵尸网络纳入其中，以进行立足酸取、情报探测搜集及定向攻击等活动，这无疑给网络威胁的检测、防范与归因带来了新的挑战。僵尸网络入侵与感染全景根据本年度监测数据，僵尸网络的入侵手段与往年基本一致。1.inUX/1。T平台仍为僵尸网络主要感染目标，其入侵传播途径为弱口令爆破与漏洞利用。此现象一方面源于1.inuxZIoT普通用户鲜少更改初始用户名与口令；另一方面，相关的IoT设备厂商众多，安全状况良莠不齐，存在不同程度

12、的脆弱性。此外，I。T木马与漏洞剥离的趋势开始出现，正朝Windows方向发展，使用独立的传播模块来提高可控性,同时隐藏攻击者资源，以防止Oday漏洞与木马本体被捕获分析一锅端，这也加大了安全拦截的难度。在Windows平台上，窃密木马和流氓软件依旧肆虐，钓鱼传播与供应链传播依然是主流手段。攻击者通过钓鱼电子邮件侵入系统内部，或借助第三方下载站或自建钓鱼网站托管的带毒工具进行传播，或利用即时通信软件发起社工攻击实现入侵，有的甚至采用组合拳的方式，目的便是尽其所能扩大感染面，以构建更庞大的僵尸网络来窃取更多信息，来实现利益最大化。3.1 路由器成为最常被攻击的设备物联网设备的数量迅速增长，在带来

13、便利同时也引入诸多安全问题。这些设备维护性差，漏洞修复缓慢，故屡屡成为黑客的攻击目标。大量设备采用默认登录凭证或者弱密码，攻击者只需通过简单机械的暴力破解便能轻松突破。加之漏洞频出、补丁更新不及时及缺少内置安全防护，导致这些设备成为僵尸网络滋生的温床。图3.1万物互联增加了暴露面路由器由于无处不在而又长时间连接的特点成为最常被攻击的设备。此外，根据伏影实验室抽样统计，易受攻击的设备/平台还包括摄像头、CMS、NVR与NASe图3.21.inuxZIoT设备漏洞分布3.2 携带漏洞年代跨度大，不断集成新漏洞2023年度，绿盟科技伏影实验室全球威胁狩猎系统监测数据显示，1.inux/I。T僵尸网络

14、的漏洞利用整体分布情况与往年相似，累计监测到僵尸网络木马利用超过150多种不同的漏洞进行传播。尽管这些漏洞年代跨度较大，但由于IoT设备在更新和维护方面的延迟性，使得这些漏洞杀伤力强，此外，由于1.inUX/I。T木马的运营门槛较低且竞争激烈，导致其黑产团伙竞相争抢失陷主机节点，迫使漏洞利用转化周期越来越短。2023年度检测到IoT木马携带的新增漏洞为：排名新增漏洞名称ICVE-2023-2680I2CVE-2023-I3893CVE-2023-26802总体排名上，各家族木马携带和利用最多的漏洞分别是：排名漏洞名称ICVE-20I7-I72I52MVPowerDVRTV-7I04HE1.8.4II52I5B9Shell命令注入3CVE-20I4-836I4CVE-20I8-I056I5ThinkPHP5.X远程命令执行6ZyXE1.路由器P660HN-Tvl权限提升CVE-2O17-17215MVPOVMirDVRTV-71O4HE11S21589ShdlCommand1.iecution(M-2014-361CVE-2018-10561ThinPHP5,X-RemoteCommandExecutionZyXUP66OHN-TvlViewtog.asp,CVE-2O