绿BO盟T科N技ET2趋02势2报年告度 关于绿盟科技 绿盟科技集团股份有限公司(以下简称绿盟科技),成立于2000年4月,总部位于北京。公司于2014年1月29日在深圳证券交易所创业板上市,证券代码:300369。绿盟科技在国内设有50余个分支机构,为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企业用户,提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和办事处,深入开展全球业务,打造全球网络安全行业的中国品牌。 研究目标包括Botnet、APT高级威胁,DDoS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑。 版权声明 为避免合作伙伴及客户数据泄露,所有数据在进行分析前都已经过匿名化处理,不会在中间环节出现泄露,任何与客户有关的具体信息,均不会出现在本报告中。 CONTENTS 执行摘要001 01 2022年僵尸网络威胁全景003 1.1C&C变化与黑产需求正相关004 1.2DDoS攻击的主要发起者仍为传统类家族006 1.3感染设备分布情况与政策执行息息相关009 1.4传播节点分布区域性集中010 1.5弱口令、漏洞利用仍是IoT类僵尸网络主要入侵方式011 1.6新型漏洞利用的热度进一步增强011 02 新型僵尸网络团伙013 2.1KekSec014 2.2L33T016 2.3Frosted017 2.4落叶飞花017 2.58220019 2.6Jester020 03 IoT新型僵尸网络家族021 3.1boat系列023 3.2YesKit系列024 3.3RapperBot系列025 3.4Fbot系列026 3.5Fodcha系列026 04 Windows僵尸网络家族的攻防对抗028 4.1Orchard029 4.2Sysrv-K030 4.3Kraken030 4.4BlackMoon031 05 未来展望——僵尸网络发展趋势预测032 执行摘要 执行摘要 2022年,各黑产组织争相逐利及世界政治经济格局的不稳定性,导致网络攻击活动持续激增。这些虚拟世界的冲突严重影响了网络安全,并对现实世界构成威胁。以DDoS为主的僵尸网络攻击所引发的安全事件屡见不鲜,并且开始向更多关键基础设施蔓延。无论是黑产组织之间的攻伐,俄罗斯和乌克兰的网络战争,还是国内的健康宝攻击事件,都有僵尸网络的参与。 伏影实验室研究发现,僵尸网络的运营策略和方式与之前相比出现较大变化。 僵尸网络团伙加大挖矿资源投入。受数字加密货币价格波动的影响,部分僵尸网络攻击团伙通过加大僵尸网络控制范围扩展攻击业务,以维持其收益的稳定性。尽管收益下降,但挖矿之利仍然是许多挖矿组织的主要收入来源,不断下跌的行情会令这些组织加大投入。“KekSec效应”凸显,各僵尸网络团伙加大自我宣传力度。僵尸网络攻击团伙频繁地利用社交媒体进行宣传,吸引了更多“客户”购买或租赁僵尸网络。这种方式既可以提升团伙的知名度,吸引更多的资源,支撑后续发展,也可以通过聚集效应隐藏其真实身份信息,实现“KekSec效应”。 隐匿性较强的社交媒体如Telegram已成为僵尸网络团伙活动的主要平台。由于该类社交媒体隐匿性强,在达成交易的情况下更有利于隐藏攻击者的真实身份信息。越来越多的攻击团伙通过此种途径进行僵尸网络相关的交易活动。租赁服务仍是DDoS攻击团伙主要盈利模式。僵尸网络团伙的主要获利手段包括售卖木马、出租肉鸡、接单和DDoS勒索等。越来越多的僵尸网络团伙通过租售其所持有攻击资源获利。通过按月办卡,或提供带有相应接口工具的方式进行交易,可在一定程度上实现攻击资源与攻击者真实身份信息隐匿,为溯源分析带来了一定挑战。 伏影实验室认为,除运营策略和方式的变化外,僵尸网络运营者在木马的开发迭代、隐匿行踪、混淆等方面进一步对僵尸网络进行升级迭代。 在开发迭代方面,Go语言是一种具有出色跨平台能力和交叉编译支持的编程语言,其在僵尸网络构建编程中出色的性能表现深受攻击者喜爱。它的打包机制使文件和函数数量巨大,对杀毒引擎的检测能力带来挑战,这种情况为僵尸网络家族的增长提供了便利条件。 001 2022年度BOTNET趋势报告 在隐匿行踪方面,新型僵尸网络家族更加倾向于采用CDN,ICMP等隧道技术通信,这种趋势与其它类型的木马类似。攻击者在通信隐匿性方面的努力一直没有松懈过。强隐匿性是隧道通信的一大特点,其可在网络中建立一条安全的隧道,使得数据可以安全传输,难以破解。攻击者的攻击行为在隧道的帮助下更加隐蔽,能更好地避开安全系统的检测,从而达到保护信息安全的目的。在混淆迷惑方面,攻击者在构建新的僵尸网络家族时会使用已知家族的部分代码。由于这类僵尸网络主要攻击IoT设备,其能否被杀毒软件检测并不重要。通过使用已知家族代码,可对杀毒软件引擎进行欺骗,使杀毒软件误以为其为已知恶意程序,降低受害者方对其的重视程度与其被人工分析的概率。在应对0day等重量级武器测试时,攻击者也可以利用这种方式有效地隐藏自己,与构建0检测的全新家族相比,这种方法更不容易引人注意。 002 网20络02威2胁年1全僵景尸 1.1C&C变化与黑产需求正相关 2022年,伏影实验室威胁监控平台BotHunter监测数据显示,Mirai、Gafgyt等热门家族的C&C主要活跃时段在一个月左右;少数C&C可以活跃两个月;只有数量极少的C&C具有两个月以上活跃度。特别地,虽然相比Mirai、Gafgyt等主流IoT家族,xorddos的cnc总数较少,但其cnc中活跃时间超过3个月的却更多,具有更长的活跃周期。Mirai、Gafgyt和Gh0st家族的代码均已开源,其使用者众多,而XorDDoS作为闭源家族,其C&C受小范围群体控制,是产生上述差异性的重要原因。 图1.1部分热门僵尸网络家族C&C月度变化图 Mirai、Gafgyt等热门僵尸网络家族C&C数量的上升期集中在4~7月,并在6~7月左右达到峰值,之后开始下降;9-11月期间,C&C数量变化相对平缓,无显著波动。其中,Mirai作为当今热门的头号僵尸网络之一,其月度C&C数量最多,每月C&C高达130个。这些变化与黑产需求存在一定关系。 图1.2部分热门家族月度C&C变化 美国, 荷兰, 德国, 俄罗斯, 中国, 图1.3各国C&C月度分布 伏影实验室监控的热门家族C&C总数超2000个,分布在近55个国家,其中大部分位于美国,中国、荷兰、德国则紧随其后。从时间点上看,各国的C&C均在5月份前后达到峰值。这些C&C分属在超过2000个云服务商/运营商中,其中DigitalOcean、微软云,FranTech,OVH和ColorCrossing成为最受攻击者青睐的云服务商,黑产团伙选择非实名化的云服务提供商更有利于规避法律法规风险。 图1.4C&C分布情况 1.2DDoS攻击的主要发起者仍为传统类家族 2022年,伏影实验室威胁监控平台BotHunter共监测到20个有明显DDoS攻击活动的家族,相较于去年新增了4个。有5个家族较为活跃,分别是Mirai,XorDDoS,Dofloo,Gafgyt以及Nitol。其中,Mirai家族的攻击指令和攻击事件数在今年的DDoS攻击活动中占比最大。此外,Bothunter在今年监控到了XorDDoS家族异常活跃,下发了大量的攻击指令,分析后发现XorDDoS家族会集中对目标进行攻击,具有极高的协同性和一致性,我们分析认为,该家族由单一控制者运营。 图1.5各DDoS家族攻击指令和攻击事件占比图 BotHunter监测到逾五十万条DDoS攻击指令数以及超过五万起攻击事件。不同家族的攻击指令数和攻击事件数均呈现一定的波动趋势。XorDDoS和Mirai的攻击指令在6~8月迎来一波高峰。例如某国内IP-103.91.*.*,仅在6月底至7月初几日内就持续受到超过3700条DDoS指令的攻击,经查该IP曾作为游戏私服使用,而私服恰为DDoS肆虐的一类重点目标。 在此基础上,我们统计了各活跃DDoS家族在针对单个目标时下发攻击指令的最大持续时间(下发指令间隔不超过10分钟,则算持续),其中Mirai的最长持续攻击时间达到近6天;其次是XorDDoS,最长连续攻击时间近1天。 表1.1DDoS家族针对单个目标的最长连续攻击时间 DDoS家族 针对单个目标时下发攻击指令的最大持续时间 Mirai 8518min XorDDoS 1410min Gafgyt 890min Dofloo 721min 攻击类型上,SYN_Flood(44.23%)和UDP_Flood(29.87%)占比最多。相比与去年,CC 攻击占比明显下降。 攻击目标上,上述活跃DDoS家族针对的攻击目标数量逾61200个,主要分布在美国、中国、德国和英国等国。 图1.6DDoS家族攻击指令及攻击事件月度变化图 图1.7攻击目标分布 美国,中国,德国在内的大多数国家所受到的DDoS攻击事件多由Mirai和Gafgyt发起。而在本年度攻击指令数激增的XoRDDoS攻击目标主要集中在国内的北京,广州,深圳等经济较为发达城市。 图1.8僵尸网络DDoS攻击目标分布 1.3感染设备分布情况与政策执行息息相关 按照家族统计,XorDDos和Mirai及其变种所控制的机器数量最多,分别占比达49%和37%,活动频繁的Dofloo和Gafgyt及其变种,以及基于Gafgyt和Mirai源码混合修改而来的HybridMQ等家族所控制机器数占比在2%上下。 图1.9各家族控制设备数 根据Mirai,Gafgyt在内的61个活跃度较高的僵尸网络家族所控机器数量的月度统计结果,各家族所控制的受感染机器总数在7月份达到顶峰,之后得益于相关执法部门的有效治理,受感染机器数量呈下降态势,其中,单个家族情况与总体相符。 图1.10各家族受感染设备数按月度统计 1.4传播节点分布区域性集中 根据监测数据,国内传播节点数最多,占比达48%,其次为美国,俄罗斯和巴西,分别占比6%、5%和4%。传播节点数的分布一方面取决于整体网络安全环境,取决于是否及时修补网络环境中存在的大量漏洞,另一方面也与服务提供商的监管力度存在着关联。 图1.11传播节点区域分布 1.5弱口令、漏洞利用仍是IoT类僵尸网络主要入侵方式 本年度及以往观察数据显示,僵尸网络的入侵方式多种多样。实际过程中,攻击者基于目标平台环境及攻击目的的不同,使用了不同的入侵方式,包括但不限于以下手段: ●弱口令:IoT设备用户很少修改初始用户名和口令,导致弱口令成为重大风险。 ●设备及软件漏洞:IoT设备由于功能需要,往往包含网络连接、应用服务等多种技术,而IoT厂商众多,技术水平和设备质量参差不齐,导致IoT设备也存在不同程度的安全风险甚至安全漏洞。 本年度观察数据显示,IoT平台僵尸网络仍然以弱口令暴破、漏洞利用为主要入侵传播方式。此外,僵尸网络木马程序还借助已经成型的僵尸网络,利用已有的僵尸主机,使用同样方式进行入侵,从而达到快速发展壮大的目的。而Windows平台僵尸网络木马程序则经常通过网络钓鱼电子邮件进入系统,也会通过带毒激活工具进行传播,常被用来推广病毒和流氓软件。 1.6新型漏洞利用的热度进一步增强 本年度,IoT环境仍是各类漏洞利用的重灾区。 绿盟科技伏影实验室物联网威胁情报平台统计发现,本年度IoT僵尸网络漏洞利用整体分布情况与往年相似,各家族木马携带和利用最多的漏洞分别是: CVE-2017-17215(华为HG532家庭网关设备上的命令注入漏洞) CVE-2014-8361(Realtekrtl81xx系列网卡远程代码执行漏洞)CVE-2018-105