2022年度BOTNET趋势报告

绿BO盟T科N技ET2趋02势2报年告度 关于绿盟科技 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于2000年4月，总部位于北京。公司于2014年1月29日在深圳证券交易所创业板上市，证券代码：300369。绿盟科技在国内设有50余个分支机构，为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗设立海外子公司和办事处，深入开展全球业务，打造全球网络安全行业的中国品牌。 研究目标包括Botnet、APT高级威胁，DDoS对抗，WEB对抗，流行服务系统脆弱利用威胁、身份认证威胁，数字资产威胁，黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险，缓解威胁伤害，为威胁对抗提供决策支撑。 版权声明 为避免合作伙伴及客户数据泄露,所有数据在进行分析前都已经过匿名化处理,不会在中间环节出现泄露,任何与客户有关的具体信息，均不会出现在本报告中。 CONTENTS 执行摘要001 01 2022年僵尸网络威胁全景003 1.1C&C变化与黑产需求正相关004 1.2DDoS攻击的主要发起者仍为传统类家族006 1.3感染设备分布情况与政策执行息息相关009 1.4传播节点分布区域性集中010 1.5弱口令、漏洞利用仍是IoT类僵尸网络主要入侵方式011 1.6新型漏洞利用的热度进一步增强011 02 新型僵尸网络团伙013 2.1KekSec014 2.2L33T016 2.3Frosted017 2.4落叶飞花017 2.58220019 2.6Jester020 03 IoT新型僵尸网络家族021 3.1boat系列023 3.2YesKit系列024 3.3RapperBot系列025 3.4Fbot系列026 3.5Fodcha系列026 04 Windows僵尸网络家族的攻防对抗028 4.1Orchard029 4.2Sysrv-K030 4.3Kraken030 4.4BlackMoon031 05 未来展望——僵尸网络发展趋势预测032 执行摘要 执行摘要 2022年，各黑产组织争相逐利及世界政治经济格局的不稳定性，导致网络攻击活动持续激增。这些虚拟世界的冲突严重影响了网络安全，并对现实世界构成威胁。以DDoS为主的僵尸网络攻击所引发的安全事件屡见不鲜，并且开始向更多关键基础设施蔓延。无论是黑产组织之间的攻伐，俄罗斯和乌克兰的网络战争，还是国内的健康宝攻击事件，都有僵尸网络的参与。 伏影实验室研究发现，僵尸网络的运营策略和方式与之前相比出现较大变化。 僵尸网络团伙加大挖矿资源投入。受数字加密货币价格波动的影响，部分僵尸网络攻击团伙通过加大僵尸网络控制范围扩展攻击业务，以维持其收益的稳定性。尽管收益下降，但挖矿之利仍然是许多挖矿组织的主要收入来源，不断下跌的行情会令这些组织加大投入。“KekSec效应”凸显，各僵尸网络团伙加大自我宣传力度。僵尸网络攻击团伙频繁地利用社交媒体进行宣传，吸引了更多“客户”购买或租赁僵尸网络。这种方式既可以提升团伙的知名度，吸引更多的资源，支撑后续发展，也可以通过聚集效应隐藏其真实身份信息，实现“KekSec效应”。 隐匿性较强的社交媒体如Telegram已成为僵尸网络团伙活动的主要平台。由于该类社交媒体隐匿性强，在达成交易的情况下更有利于隐藏攻击者的真实身份信息。越来越多的攻击团伙通过此种途径进行僵尸网络相关的交易活动。租赁服务仍是DDoS攻击团伙主要盈利模式。僵尸网络团伙的主要获利手段包括售卖木马、出租肉鸡、接单和DDoS勒索等。越来越多的僵尸网络团伙通过租售其所持有攻击资源获利。通过按月办卡，或提供带有相应接口工具的方式进行交易，可在一定程度上实现攻击资源与攻击者真实身份信息隐匿，为溯源分析带来了一定挑战。 伏影实验室认为，除运营策略和方式的变化外，僵尸网络运营者在木马的开发迭代、隐匿行踪、混淆等方面进一步对僵尸网络进行升级迭代。 在开发迭代方面，Go语言是一种具有出色跨平台能力和交叉编译支持的编程语言，其在僵尸网络构建编程中出色的性能表现深受攻击者喜爱。它的打包机制使文件和函数数量巨大，对杀毒引擎的检测能力带来挑战，这种情况为僵尸网络家族的增长提供了便利条件。 001 2022年度BOTNET趋势报告 在隐匿行踪方面，新型僵尸网络家族更加倾向于采用CDN，ICMP等隧道技术通信，这种趋势与其它类型的木马类似。攻击者在通信隐匿性方面的努力一直没有松懈过。强隐匿性是隧道通信的一大特点，其可在网络中建立一条安全的隧道，使得数据可以安全传输，难以破解。攻击者的攻击行为在隧道的帮助下更加隐蔽，能更好地避开安全系统的检测，从而达到保护信息安全的目的。在混淆迷惑方面，攻击者在构建新的僵尸网络家族时会使用已知家族的部分代码。由于这类僵尸网络主要攻击IoT设备，其能否被杀毒软件检测并不重要。通过使用已知家族代码，可对杀毒软件引擎进行欺骗，使杀毒软件误以为其为已知恶意程序，降低受害者方对其的重视程度与其被人工分析的概率。在应对0day等重量级武器测试时，攻击者也可以利用这种方式有效地隐藏自己，与构建0检测的全新家族相比，这种方法更不容易引人注意。 002 网20络02威2胁年1全僵景尸 1.1C&C变化与黑产需求正相关 2022年，伏影实验室威胁监控平台BotHunter监测数据显示，Mirai、Gafgyt等热门家族的C&C主要活跃时段在一个月左右；少数C&C可以活跃两个月；只有数量极少的C&C具有两个月以上活跃度。特别地，虽然相比Mirai、Gafgyt等主流IoT家族，xorddos的cnc总数较少，但其cnc中活跃时间超过3个月的却更多，具有更长的活跃周期。Mirai、Gafgyt和Gh0st家族的代码均已开源，其使用者众多，而XorDDoS作为闭源家族，其C&C受小范围群体控制，是产生上述差异性的重要原因。 图1.1部分热门僵尸网络家族C&C月度变化图 Mirai、Gafgyt等热门僵尸网络家族C&C数量的上升期集中在4~7月，并在6~7月左右达到峰值，之后开始下降；9-11月期间，C&C数量变化相对平缓，无显著波动。其中，Mirai作为当今热门的头号僵尸网络之一，其月度C&C数量最多，每月C&C高达130个。这些变化与黑产需求存在一定关系。 图1.2部分热门家族月度C&C变化 美国， 荷兰， 德国， 俄罗斯， 中国， 图1.3各国C&C月度分布 伏影实验室监控的热门家族C&C总数超2000个，分布在近55个国家，其中大部分位于美国，中国、荷兰、德国则紧随其后。从时间点上看，各国的C&C均在5月份前后达到峰值。这些C&C分属在超过2000个云服务商/运营商中，其中DigitalOcean、微软云，FranTech，OVH和ColorCrossing成为最受攻击者青睐的云服务商，黑产团伙选择非实名化的云服务提供商更有利于规避法律法规风险。 图1.4C&C分布情况 1.2DDoS攻击的主要发起者仍为传统类家族 2022年，伏影实验室威胁监控平台BotHunter共监测到20个有明显DDoS攻击活动的家族，相较于去年新增了4个。有5个家族较为活跃，分别是Mirai，XorDDoS，Dofloo，Gafgyt以及Nitol。其中，Mirai家族的攻击指令和攻击事件数在今年的DDoS攻击活动中占比最大。此外，Bothunter在今年监控到了XorDDoS家族异常活跃，下发了大量的攻击指令，分析后发现XorDDoS家族会集中对目标进行攻击，具有极高的协同性和一致性，我们分析认为，该家族由单一控制者运营。 图1.5各DDoS家族攻击指令和攻击事件占比图 BotHunter监测到逾五十万条DDoS攻击指令数以及超过五万起攻击事件。不同家族的攻击指令数和攻击事件数均呈现一定的波动趋势。XorDDoS和Mirai的攻击指令在6~8月迎来一波高峰。例如某国内IP-103.91.*.*，仅在6月底至7月初几日内就持续受到超过3700条DDoS指令的攻击，经查该IP曾作为游戏私服使用，而私服恰为DDoS肆虐的一类重点目标。 在此基础上，我们统计了各活跃DDoS家族在针对单个目标时下发攻击指令的最大持续时间（下发指令间隔不超过10分钟，则算持续），其中Mirai的最长持续攻击时间达到近6天；其次是XorDDoS，最长连续攻击时间近1天。 表1.1DDoS家族针对单个目标的最长连续攻击时间 DDoS家族 针对单个目标时下发攻击指令的最大持续时间 Mirai 8518min XorDDoS 1410min Gafgyt 890min Dofloo 721min 攻击类型上，SYN_Flood(44.23%)和UDP_Flood（29.87%）占比最多。相比与去年，CC 攻击占比明显下降。 攻击目标上，上述活跃DDoS家族针对的攻击目标数量逾61200个，主要分布在美国、中国、德国和英国等国。 图1.6DDoS家族攻击指令及攻击事件月度变化图 图1.7攻击目标分布 美国，中国，德国在内的大多数国家所受到的DDoS攻击事件多由Mirai和Gafgyt发起。而在本年度攻击指令数激增的XoRDDoS攻击目标主要集中在国内的北京，广州，深圳等经济较为发达城市。 图1.8僵尸网络DDoS攻击目标分布 1.3感染设备分布情况与政策执行息息相关 按照家族统计，XorDDos和Mirai及其变种所控制的机器数量最多，分别占比达49%和37%，活动频繁的Dofloo和Gafgyt及其变种，以及基于Gafgyt和Mirai源码混合修改而来的HybridMQ等家族所控制机器数占比在2%上下。 图1.9各家族控制设备数 根据Mirai，Gafgyt在内的61个活跃度较高的僵尸网络家族所控机器数量的月度统计结果，各家族所控制的受感染机器总数在7月份达到顶峰，之后得益于相关执法部门的有效治理，受感染机器数量呈下降态势，其中，单个家族情况与总体相符。 图1.10各家族受感染设备数按月度统计 1.4传播节点分布区域性集中 根据监测数据，国内传播节点数最多，占比达48%，其次为美国，俄罗斯和巴西，分别占比6%、5%和4%。传播节点数的分布一方面取决于整体网络安全环境，取决于是否及时修补网络环境中存在的大量漏洞，另一方面也与服务提供商的监管力度存在着关联。 图1.11传播节点区域分布 1.5弱口令、漏洞利用仍是IoT类僵尸网络主要入侵方式 本年度及以往观察数据显示，僵尸网络的入侵方式多种多样。实际过程中，攻击者基于目标平台环境及攻击目的的不同，使用了不同的入侵方式，包括但不限于以下手段： ●弱口令：IoT设备用户很少修改初始用户名和口令，导致弱口令成为重大风险。 ●设备及软件漏洞：IoT设备由于功能需要，往往包含网络连接、应用服务等多种技术，而IoT厂商众多，技术水平和设备质量参差不齐，导致IoT设备也存在不同程度的安全风险甚至安全漏洞。 本年度观察数据显示，IoT平台僵尸网络仍然以弱口令暴破、漏洞利用为主要入侵传播方式。此外，僵尸网络木马程序还借助已经成型的僵尸网络，利用已有的僵尸主机，使用同样方式进行入侵，从而达到快速发展壮大的目的。而Windows平台僵尸网络木马程序则经常通过网络钓鱼电子邮件进入系统，也会通过带毒激活工具进行传播，常被用来推广病毒和流氓软件。 1.6新型漏洞利用的热度进一步增强 本年度，IoT环境仍是各类漏洞利用的重灾区。 绿盟科技伏影实验室物联网威胁情报平台统计发现，本年度IoT僵尸网络漏洞利用整体分布情况与往年相似，各家族木马携带和利用最多的漏洞分别是： CVE-2017-17215（华为HG532家庭网关设备上的命令注入漏洞） CVE-2014-8361（Realtekrtl81xx系列网卡远程代码执行漏洞）CVE-2018-105