2020Botnet趨勢報告 | 殭屍網路新冠疫情期間“沒閒著”,攻擊速度更快,手段多元更隱匿

綠盟科技發表於2021-01-25

Botnet是網路惡意行為的手段而非結果,其存在直接體現著“威脅”本身。透過組建Botnet,駭客得以控制大量的網路資源,獲取強大的攻擊能力。依託於這種攻擊能力,駭客可以使用各種方式獲取非法的經濟利益。


近年來,從Gafgyt、Mirai到GoBrut、BigViktor、Mozi、Pink,我們觀察到Botnet升級改造的變化之巨。其非法控制並改造大量的網路資源,不斷提升攻擊能力,逐漸增加隱匿手段,從而給有限的網路資源造成了愈發嚴重的損失。

 

在過去的2020年,儘管全球遭受了新冠疫情的襲擊,但殭屍網路的活動並未受到疫情的影響,更加活躍。

 

基於此,綠盟科技釋出《2020 BOTNET趨勢報告》,報告聚焦於Botnet的整體趨勢分析,透過 CNCERT 物聯網威脅情報平臺及綠盟威脅識別系統對Botnet持續監測追蹤獲取的第一手資料,來描述2020年Botnet的整體發展情況以及特色家族的變遷情況,進而對資料進行解讀並提煉觀點。

2020Botnet趨勢報告 | 殭屍網路新冠疫情期間“沒閒著”,攻擊速度更快,手段多元更隱匿

 

報告主要觀點

觀點一

IoT 環境仍然是各類漏洞攻擊的重災區,且攻擊用到的漏洞年代跨度相對較長;IoT 裝置往往執行在長期缺乏人為干預的環境下,由於IoT 廠商眾多,技術水平和裝置質量參差不齊並且初始密碼固定,使得攻擊者可以自動化入侵此類裝置,構建起數量眾多的殭屍網路節點。

觀點二

2020年Botnet與垃圾郵件深度繫結,以新冠肺炎為主題的誘餌郵件散播大量的傳統木馬;2020 年爆發的新冠疫情影響範圍之廣,社會影響力之大,絕非同期其他社會事件可比。惡意郵件殭屍網路的控制者沒有放過這一絕佳機會,快速構建了各種語言、各種體裁的疫情話題誘餌郵件並大量投放,積極擴大郵件木馬的影響範圍。

觀點三

DDoS殭屍網路的家族活動仍然以Mirai和Gafgyt為代表的傳統IoT木馬家族為主。

觀點四

殭屍網路在橫向移動方面的探索愈加深入,在漏洞利用方面逐漸具備了 “當天發現,當天利用” 的能力;伏影實驗室在檢測殭屍網路威脅與網路攻擊事件時發現,Mirai 變種 Fetch 家族使用了最新的攻擊鏈進行攻擊,而在發現該攻擊事件的前 3 個小時左右,國外論壇才剛剛披露相關利用。這足以說明:殭屍網路運營者的情報轉化能力已經遠遠超出防禦方的固有認知。

觀點五

殭屍網路在對抗性方面展現出特殊變化,攻擊者開始針對一些開源的蜜罐進行分析並採取反制策略。

觀點六

在控制協議方面,殭屍網路家族加速向 P2P 控制結構轉變。2020年以來,Mozi、BigViktor等使用P2P協議控制殭屍網路節點的殭屍網路異常活躍,逐步侵蝕Mirai、Gafgyt等傳統殭屍網路家族的地盤,儘管新興殭屍網路家族控制節點數量較少,但由於其控制協議的特殊性,導致這類殭屍網路很難被關閉。因此,未來Mozi、BigViktor這類以P2P協議為主的殭屍網路將逐步佔據主流地位。

觀點七

部分殭屍網路開始改變發展模式,即先聚焦傳播入侵,待佔領肉雞而後再完善木馬功能。

觀點八

殭屍網路運營者已經能夠將威脅情報、開源社群情報快速轉化為攻擊手段,逐步擴大攻擊、防禦的時間差與資訊差,透過快速部署和迭代,持續提升對網際網路裝置和使用者的威脅能力。

觀點九

Botnet控制者的行為愈發謹慎,頭部運營者控制的殭屍網路不斷向高隱匿性發展。

觀點十

APT組織攻擊平臺多樣化。


相關文章