Botnet是網(wǎng)絡(luò)惡意行為的手段而非結(jié)果,其存在直接體現(xiàn)著“威脅”本身。通過(guò)組建Botnet,黑客得以控制大量的網(wǎng)絡(luò)資源,獲取強(qiáng)大的攻擊能力。依托于這種攻擊能力,黑客可以使用各種方式獲取非法的經(jīng)濟(jì)利益。
近年來(lái),從Gafgyt、Mirai到GoBrut、BigViktor、Mozi、Pink,我們觀(guān)察到Botnet升級(jí)改造的變化之巨。其非法控制并改造大量的網(wǎng)絡(luò)資源,不斷提升攻擊能力,逐漸增加隱匿手段,從而給有限的網(wǎng)絡(luò)資源造成了愈發(fā)嚴(yán)重的損失。
在過(guò)去的2020年,盡管全球遭受了新冠疫情的襲擊,但僵尸網(wǎng)絡(luò)的活動(dòng)并未受到疫情的影響,更加活躍。
基于此,綠盟科技發(fā)布《2020 BOTNET趨勢(shì)報(bào)告》,報(bào)告聚焦于Botnet的整體趨勢(shì)分析,通過(guò)CNCERT物聯(lián)網(wǎng)威脅情報(bào)平臺(tái)及綠盟威脅識(shí)別系統(tǒng)對(duì)Botnet持續(xù)監(jiān)測(cè)追蹤獲取的第一手?jǐn)?shù)據(jù),來(lái)描述2020年Botnet的整體發(fā)展情況以及特色家族的變遷情況,進(jìn)而對(duì)數(shù)據(jù)進(jìn)行解讀并提煉觀(guān)點(diǎn)。
報(bào)告主要觀(guān)點(diǎn)
觀(guān)點(diǎn)一
IoT環(huán)境仍然是各類(lèi)漏洞攻擊的重災(zāi)區(qū),且攻擊用到的漏洞年代跨度相對(duì)較長(zhǎng);IoT設(shè)備往往運(yùn)行在長(zhǎng)期缺乏人為干預(yù)的環(huán)境下,由于IoT廠(chǎng)商眾多,技術(shù)水平和設(shè)備質(zhì)量參差不齊并且初始密碼固定,使得攻擊者可以自動(dòng)化入侵此類(lèi)設(shè)備,構(gòu)建起數(shù)量眾多的僵尸網(wǎng)絡(luò)節(jié)點(diǎn)。
觀(guān)點(diǎn)二
2020年Botnet與垃圾郵件深度綁定,以新冠肺炎為主題的誘餌郵件散播大量的傳統(tǒng)木馬;2020年爆發(fā)的新冠疫情影響范圍之廣,社會(huì)影響力之大,絕非同期其他社會(huì)事件可比。惡意郵件僵尸網(wǎng)絡(luò)的控制者沒(méi)有放過(guò)這一絕佳機(jī)會(huì),快速構(gòu)建了各種語(yǔ)言、各種體裁的疫情話(huà)題誘餌郵件并大量投放,積極擴(kuò)大郵件木馬的影響范圍。
觀(guān)點(diǎn)三
DDoS僵尸網(wǎng)絡(luò)的家族活動(dòng)仍然以Mirai和Gafgyt為代表的傳統(tǒng)IoT木馬家族為主。
觀(guān)點(diǎn)四
僵尸網(wǎng)絡(luò)在橫向移動(dòng)方面的探索愈加深入,在漏洞利用方面逐漸具備了“當(dāng)天發(fā)現(xiàn),當(dāng)天利用”的能力;伏影實(shí)驗(yàn)室在檢測(cè)僵尸網(wǎng)絡(luò)威脅與網(wǎng)絡(luò)攻擊事件時(shí)發(fā)現(xiàn),Mirai變種Fetch家族使用了最新的攻擊鏈進(jìn)行攻擊,而在發(fā)現(xiàn)該攻擊事件的前3個(gè)小時(shí)左右,國(guó)外論壇才剛剛披露相關(guān)利用。這足以說(shuō)明:僵尸網(wǎng)絡(luò)運(yùn)營(yíng)者的情報(bào)轉(zhuǎn)化能力已經(jīng)遠(yuǎn)遠(yuǎn)超出防御方的固有認(rèn)知。
觀(guān)點(diǎn)五
僵尸網(wǎng)絡(luò)在對(duì)抗性方面展現(xiàn)出特殊變化,攻擊者開(kāi)始針對(duì)一些開(kāi)源的蜜罐進(jìn)行分析并采取反制策略。
觀(guān)點(diǎn)六
在控制協(xié)議方面,僵尸網(wǎng)絡(luò)家族加速向P2P控制結(jié)構(gòu)轉(zhuǎn)變。2020年以來(lái),Mozi、BigViktor等使用P2P協(xié)議控制僵尸網(wǎng)絡(luò)節(jié)點(diǎn)的僵尸網(wǎng)絡(luò)異?;钴S,逐步侵蝕Mirai、Gafgyt等傳統(tǒng)僵尸網(wǎng)絡(luò)家族的地盤(pán),盡管新興僵尸網(wǎng)絡(luò)家族控制節(jié)點(diǎn)數(shù)量較少,但由于其控制協(xié)議的特殊性,導(dǎo)致這類(lèi)僵尸網(wǎng)絡(luò)很難被關(guān)閉。因此,未來(lái)Mozi、BigViktor這類(lèi)以P2P協(xié)議為主的僵尸網(wǎng)絡(luò)將逐步占據(jù)主流地位。
觀(guān)點(diǎn)七
部分僵尸網(wǎng)絡(luò)開(kāi)始改變發(fā)展模式,即先聚焦傳播入侵,待占領(lǐng)肉雞而后再完善木馬功能。
觀(guān)點(diǎn)八
僵尸網(wǎng)絡(luò)運(yùn)營(yíng)者已經(jīng)能夠?qū)⑼{情報(bào)、開(kāi)源社區(qū)情報(bào)快速轉(zhuǎn)化為攻擊手段,逐步擴(kuò)大攻擊、防御的時(shí)間差與信息差,通過(guò)快速部署和迭代,持續(xù)提升對(duì)互聯(lián)網(wǎng)設(shè)備和用戶(hù)的威脅能力。
觀(guān)點(diǎn)九
Botnet控制者的行為愈發(fā)謹(jǐn)慎,頭部運(yùn)營(yíng)者控制的僵尸網(wǎng)絡(luò)不斷向高隱匿性發(fā)展。
觀(guān)點(diǎn)十
APT組織攻擊平臺(tái)多樣化。
在綠盟科技微信公眾號(hào)后臺(tái)回復(fù)“Botnet報(bào)告”即可獲取完整版報(bào)告
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )