2022年度BOTNET趋势报告
关于绿盟科技
- 成立时间:2000年4月,总部位于北京。
- 上市时间:2014年1月29日,在深圳证券交易所创业板上市。
- 业务范围:面向政府、金融、运营商、能源、交通、科教文卫等行业用户提供全线网络安全产品、解决方案和服务。
2022年僵尸网络威胁全景
- C&C变化与黑产需求正相关:僵尸网络活动与黑产需求同步增长。
- DDoS攻击:主要发起者为传统家族,如Mirai、Gafgyt。
- 感染设备分布:与政策执行紧密相关,地域分布显著。
- 传播节点:区域性集中,美国、中国、俄罗斯等国家活跃。
- 弱口令与漏洞利用:依然是IoT类僵尸网络的主要入侵方式。
- 新型漏洞利用:热度增强,涉及多个关键漏洞。
新型僵尸网络团伙
- KekSec:活跃于2016年,以DDoS攻击和勒索活动获利,运营多个家族,如lolfmeur0a、BotNecro、EnemyBot。
- L33T:2022年10月被发现,通过社交媒体宣传,控制多个家族如Gagfyt_L33T、Mirai_L33T、BOAT_L33T。
- Frosted:2022年10月发现,运营多个僵尸网络家族,如TerryPanel Botnet、Darkness Botnet、Mirai_Fro,公开宣传并销售僵尸网络木马。
- 落叶飞花:2022年1月发现,拥有较高自研能力,控制多个僵尸网络家族,主要针对中国国内目标。
IoT新型僵尸网络家族
- boat系列
- YesKit系列
- RapperBot系列
- Fbot系列
- Fodcha系列
Windows僵尸网络家族的攻防对抗
- Orchard
- Sysrv-K
- Kraken
- BlackMoon
未来展望
- 僵尸网络发展趋势:预计僵尸网络团伙将继续增加对新技术的应用,如挖矿、挖矿资源投入、自我宣传策略等。
主要发现与趋势
- C&C活动与黑产需求相关性增强:僵尸网络活动与黑产需求呈正比。
- DDoS攻击:美国、中国、俄罗斯等国家是主要攻击源地。
- 弱口令与漏洞利用:仍然是IoT类僵尸网络的主要入侵手段。
- 新型漏洞利用热度提升:多个关键漏洞被广泛利用。
- 僵尸网络团伙:KekSec、L33T、Frosted、落叶飞花等新型团伙活跃,通过社交媒体进行宣传与资源销售。
- IoT僵尸网络家族:多个新家族如boat、YesKit、RapperBot等涌现。
- Windows僵尸网络家族:Orchard、Sysrv-K、Kraken、BlackMoon等家族继续对抗与防御。
结论
2022年,僵尸网络威胁持续加剧,不仅数量增多,且攻击手法更为复杂。僵尸网络团伙通过挖矿、挖矿资源投入、自我宣传、利用新型漏洞等方式增强其攻击能力。社会应加强网络安全意识培训,提高对僵尸网络威胁的防范能力。
