2020Botnet趨勢報告 | 殭屍網路新冠疫情期間“沒閒著”，攻擊速度更快，手段多元更隱匿

Botnet是網路惡意行為的手段而非結果，其存在直接體現著“威脅”本身。透過組建Botnet，駭客得以控制大量的網路資源，獲取強大的攻擊能力。依託於這種攻擊能力，駭客可以使用各種方式獲取非法的經濟利益。

近年來，從Gafgyt、Mirai到GoBrut、BigViktor、Mozi、Pink，我們觀察到Botnet升級改造的變化之巨。其非法控制並改造大量的網路資源，不斷提升攻擊能力，逐漸增加隱匿手段，從而給有限的網路資源造成了愈發嚴重的損失。

在過去的2020年，儘管全球遭受了新冠疫情的襲擊，但殭屍網路的活動並未受到疫情的影響，更加活躍。

基於此，綠盟科技釋出《2020 BOTNET趨勢報告》，報告聚焦於Botnet的整體趨勢分析，透過 CNCERT 物聯網威脅情報平臺及綠盟威脅識別系統對Botnet持續監測追蹤獲取的第一手資料，來描述2020年Botnet的整體發展情況以及特色家族的變遷情況，進而對資料進行解讀並提煉觀點。

報告主要觀點

觀點一

IoT 環境仍然是各類漏洞攻擊的重災區，且攻擊用到的漏洞年代跨度相對較長；IoT 裝置往往執行在長期缺乏人為干預的環境下，由於IoT 廠商眾多，技術水平和裝置質量參差不齊並且初始密碼固定，使得攻擊者可以自動化入侵此類裝置，構建起數量眾多的殭屍網路節點。

觀點二

2020年Botnet與垃圾郵件深度繫結，以新冠肺炎為主題的誘餌郵件散播大量的傳統木馬；2020 年爆發的新冠疫情影響範圍之廣，社會影響力之大，絕非同期其他社會事件可比。惡意郵件殭屍網路的控制者沒有放過這一絕佳機會，快速構建了各種語言、各種體裁的疫情話題誘餌郵件並大量投放，積極擴大郵件木馬的影響範圍。

觀點三

DDoS殭屍網路的家族活動仍然以Mirai和Gafgyt為代表的傳統IoT木馬家族為主。

觀點四

殭屍網路在橫向移動方面的探索愈加深入，在漏洞利用方面逐漸具備了 “當天發現，當天利用” 的能力；伏影實驗室在檢測殭屍網路威脅與網路攻擊事件時發現，Mirai 變種 Fetch 家族使用了最新的攻擊鏈進行攻擊，而在發現該攻擊事件的前 3 個小時左右，國外論壇才剛剛披露相關利用。這足以說明：殭屍網路運營者的情報轉化能力已經遠遠超出防禦方的固有認知。

觀點五

殭屍網路在對抗性方面展現出特殊變化，攻擊者開始針對一些開源的蜜罐進行分析並採取反制策略。

觀點六

在控制協議方面，殭屍網路家族加速向 P2P 控制結構轉變。2020年以來，Mozi、BigViktor等使用P2P協議控制殭屍網路節點的殭屍網路異常活躍，逐步侵蝕Mirai、Gafgyt等傳統殭屍網路家族的地盤，儘管新興殭屍網路家族控制節點數量較少，但由於其控制協議的特殊性，導致這類殭屍網路很難被關閉。因此，未來Mozi、BigViktor這類以P2P協議為主的殭屍網路將逐步佔據主流地位。

觀點七

部分殭屍網路開始改變發展模式，即先聚焦傳播入侵，待佔領肉雞而後再完善木馬功能。

觀點八

殭屍網路運營者已經能夠將威脅情報、開源社群情報快速轉化為攻擊手段，逐步擴大攻擊、防禦的時間差與資訊差，透過快速部署和迭代，持續提升對網際網路裝置和使用者的威脅能力。

觀點九

Botnet控制者的行為愈發謹慎，頭部運營者控制的殭屍網路不斷向高隱匿性發展。

觀點十

APT組織攻擊平臺多樣化。