綠盟科技伏影實驗室釋出《2019 Botnet趨勢報告》

綠盟科技發表於2020-01-03

綠盟科技伏影實驗室釋出《2019 Botnet趨勢報告》

殭屍網路(Botnet)是當今網際網路威脅的重要載體。DDoS攻擊、廣告捆綁、挖礦、資訊竊取等行為持續依託Botnet進行活動,而某些勒索軟體會通過Botnet進行傳播,甚至APT攻擊也開始使用Botnet探路。近年來,越來越多的Botnet開始使用BaaS(Botnet as a Service)的方式提供服務,該方式降低了不法分子進行持續威脅的成本,同時也提高了他們控制Bonet的便利性。這導致Botnet數量不斷攀升,規模不斷擴大,嚴重危害網際網路生態環境,故需要對其進行持續跟蹤。

通過對Botnet的持續研究和追蹤,綠盟科技伏影實驗室釋出《2019 Botnet趨勢報告》,從入侵、傳播方式和威脅種類及方式等方面深度剖析2019年Botnet威脅趨勢。

入侵與傳播方面,弱口令、遠端漏洞利用和釣魚郵件依然是三種主要手段。持續威脅方面呈現以下特點:

特點一

Go語言惡意軟體組成的Botnet不斷髮展,爆破型家族GoBrut便是其中之一。

特點二

DDoS惡意家族進一步集中於少數幾個家族,UDP泛洪攻擊比例有所上升。

特點三

勒索家族持續謀取暴利,效仿者不斷湧現,產業化程度不斷加強。

特點四

銀行木馬與勒索家族之間合作更加頻繁,使得受害者同時面臨多重安全風險。

特點五

廣告捆綁軟體持續通過靜默安裝獲利,同時也是傳播惡意軟體的重要渠道。

此外,移動端安全亂象叢生,已然是各類Botnet發展的重要空間。而APT組織持續與某些Botnet組織勾結以隱藏行蹤,加大了檢測難度。


重要觀點

觀點一

Botnet的隱匿和盈利方面,其BaaS (Botnet as a Service)模式日益強化,各部分的階段獨立性加強,單個C&C下掛Bot數量也刻意消減,反映了網路犯罪集團為對抗打擊而採取化整為零、簡化攻擊操作、擴大受眾和降低成本等操作,以達到增強持續變現能力的目的。

觀點二

Botnet擴充套件方面,弱口令、漏洞利用和釣魚郵件仍然是現網入侵和傳播的主要手段;在舊有漏洞利用技術早已成熟的基礎上,攻擊者持續關注新披露的漏洞,用於快速感染新目標以擴張Botnet;釣魚郵件攻擊作為一種社會工程學手段,在郵箱地址洩露頻繁的情況下,加強了攻擊定向性。

觀點三

Botnet持續威脅方面,爆破活動逐漸從Botnet的爆破功能中獨立出來,由專項爆破家族實施;廣告捆綁推廣軟體和被推廣軟體為了獲利,分別持續採取靜默安裝和廣告彈窗等技術,甚至出現了傳播惡意軟體這種“白夾黑”的情況,其利益鏈條和安全風險更需進行深入跟蹤;DDoS攻擊方面,UDP泛洪攻擊比例進一步提升,雲/VPS平臺承受的攻擊流量愈發增多,DDoS惡意家族向少數家族(Gafgyt和Mirai等)進一步集中;勒索軟體“前仆後繼”, 隨著部分舊家族的退出,其暴利收割現狀促使更多不法分子加入“行業大軍”,產業化程度不斷上升;銀行木馬由單打獨鬥向多種攻擊方式融合,不同銀行木馬之間合作加強,而且與某些勒索軟體的勾結也愈發嚴重,只為榨乾受害者的錢財,使其遭受經濟與資料的雙重損失。

觀點四

移動平臺亦是Botnet威脅的重要發展面,其惡意軟體種類數量不遜於PC端,廣告軟體、銀行木馬、勒索軟體等應有盡有,並對諸如Android手機、平板電腦等存有重要個人資訊的裝置構成嚴重威脅。而像Android電視盒子等裝置因為遠離使用者管控,因而更多受到挖礦木馬的青睞。

觀點五

Botnet依然是APT組織維護其持續性威脅的重要方式之一,2019年出現APT組織勾結其他Botnet組織進行攻擊的現象,通過利用其現有成熟的元件和C&C達到隱藏自身活動痕跡的目的,使得未來發現與檢測APT攻擊活動的難度大幅上升。

觀點六

防禦Botnet的根本在於避免出現各種裝置和人為漏洞,但網路安全具有木桶效應,其環境複雜性、新技術多樣性和大眾安全意識淡薄性導致問題頻發。因此,各企業需要進一步加強系統的升級維護和員工安全教育,以提升軟體及裝置的安全性與人員的安全意識。

更多詳情,請關注由綠盟科技伏影實驗室釋出《2019 Botnet趨勢報告》。

http://blog.nsfocus.net/wp-content/uploads/2019/12/2019-Botnet-Trend-Report.pdf

相關文章