关于绿盟科技 绿盟科技集团股份有限公司(以下简称绿盟科技),成立于2000年4月,总部位于北京。公司于2014年1月29日起在深圳证券交易所创业板上市,证券代码:300369。绿盟科技在国内设有40多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡设立海外子公司,深入开展全球业务,打造全球网络安全行业的中国品牌。 关于伏影实验室 研究目标包括Botnet、APT高级威胁,DDoS对抗,WEB对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑。 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。 CONTENTS 01 执行摘要1 02 僵尸网络发展趋势4 2.1针对关基的攻击愈演愈烈,教育行业尤为严重5 2.2僵尸网络成为高级威胁攻击的跳板7 03 僵尸网络入侵与感染全景10 3.1路由器成为最常被攻击的设备11 3.2携带漏洞年代跨度大,不断集成新漏洞12 3.3Mirai家族控制设备数最多13 04 僵尸网络攻击全景15 4.1QakBot前三季度C&C数量庞大, Mirai新增C&C数量持续增多16 4.2美国控制的C&C数量最多, 国内C&C主要分布在沿海地区17 4.3Mirai下发指令数最多, UDP类型的DDoS攻击方式备受僵尸网络青睐18 4.4僵尸网络发起的DDoS攻击活动于年底猛增19 4.5中美两国遭受攻击最为严重19 4.6国内发达地区更易遭受攻击20 05 僵尸网络的发展与对抗21 5.1Linux/IoT平台新兴家族与变种频繁活跃22 5.2Windows平台僵尸网络木马家族对抗性持续增强28 5.3新兴家族攻击方式与反追踪思路推陈出新30 5.4僵尸网络新兴团伙活动35 06 未来展望——僵尸网络发展趋势预测43 0执行1摘要 2023BOTNET趋势报告 2023年,全球网络安全环境持续恶化,僵尸网络发动的攻击活动日益猖獗。这些活跃的僵尸网络所展现出的特征,与绿盟科技伏影实验室去年的预测高度吻合。 入侵与感染方面,随着网络设备和接口数量的高速增长,攻击者可利用的暴露面也在不断扩大。弱口令、安全漏洞、钓鱼网站与邮件、社交工程等入侵手段仍然备受攻击者的青睐。受害者的地理分布与当地经济条件密切相关,发达地区的网络安全风险尤为突出,容易成为僵尸网络的重点攻击目标。关键基础设施遭受攻击的情况日益严重,网络安全建设薄弱的部门成为攻击者渗透的首选目标,其中教育行业尤为明显。 文件侧隐匿方面,僵尸网络新家族除了使用常规的规避手段以外,“混淆视听”正在流行,“混淆视听”是指通过使用已知家族代码对杀毒软件检测结果进行混淆,隐匿新家族身份。编程语言选择上,使用Golang、Rust等易编程语言的木马家族数量正持续增加,这类语言构建时的打包、内联特性会在二进制层面增加了数量巨大的额外代码,在某种程度上对静态分析检测造成困难。此外,攻击者向木马主动或被动添加垃圾与冗余代码,导致恶意软件体积扩大,进而影响杀软的判断与识别。 通信侧隐匿方面,除隧道、DGA外,近两年一些新型对抗手段也在走向实践。攻击者深知僵尸网络追踪的一般思路,在通信细节处做出修改,为安全检测与研究制造障碍。OpenNIC、ClouDNS这类非传统DNS解析方式逐渐兴起,被用来隐藏C&C真实IP地址;使用云笔记作为木马托管平台的活动开始增多,这种手段作为云平台充当C&C形式的扩展延伸,在流量侧与IP侧均实现了隐藏效果;此外,利用第三方平台检测家庭或机房IP以及被动连接上线机制亦有现身,旨在对抗在线沙箱检测。 扩大影响力方面,越来越多的僵尸网络团伙采取高调宣传策略,他们直接利用互联网进行宣传,将YouTube、Twitter这样的社交媒体作为他们的活动阵地。此外,即时通讯平台亦是这些团伙的活动聚集地,如QQ,Discord及Telegram,这些通讯平台因用户多和隐匿性强而受到众多攻击者的欢迎。 发展轨迹方面,僵尸网络团伙在攫取利益方面有着大而统一的发展总路线。主要体现在从无到有、从低到高、从单平台到多平台、从单一业务到DDoS和挖矿通吃的过程。部分中小团伙路线清晰,在追求自主性的同时兼顾初创效率,快速搭建业务框架以期缩短回本时间,待业务框架稍有成形,再做添砖加瓦活动。有的团伙变更频繁甚至反复,在保持弹性、兼顾利益与效率方面不断尝试探索。还有团伙实现了身份拔高与业务转型,从无人问津的木马托管者摇身一变,成为攻击活动的控制者与运营者。此外,我们也观察到一些大型团伙的身影, 2 执行摘要 他们大肆发展线上与线下人员,组织起一个层次分明而灵活多变的攻击团伙,以尽可能扩大攻击面,来窃取更多的用户数据以求变现。 此外,随着世界局势的复杂变化,更高级别的势力开始渗入,也让部分僵尸网络开始介入地缘政治。 3 0僵发尸展趋网2势络 2.1针对关基的攻击愈演愈烈,教育行业尤为严重 2023年,关键基础设施遭受分布式拒绝服务(DDoS)攻击的事件频繁发生。二月,德国多家机场遭受DDoS攻击,导致网站无法访问。六月,希腊教育部遭遇严重的DDoS网络攻击,全国考试受到干扰。同期,DarknetParliament黑客联盟将目标对准西方银行和SWIFT网络,实施大规模DDoS攻击活动。 绿盟科技伏影实验室依托全球威胁狩猎系统,全年累计监测到1400余起较大规模的由僵尸网络发起的针对关键基础设施的攻击活动。从时间分布来看,攻击活动在八月与九月最为频繁,单月最高可达350起。 400 350 300 250 200 150 100 50 0 1月2月3月4月5月6月7月8月9月10月11月12月 图2.1关键基础设施遭受攻击次数月度分布 监测数据显示,攻击关键基础设施的僵尸网络家族集中在传统类家族,包括Mira(iXorDDoS(20%),Gafgyt(14%)以及新型变种家族hailBot(2%)。 64%), Gafgyt14% XORDDoS20% Mirai64% hailbot2% Mirai XORDDoS Gafgythailbot 图2.2攻击关键基础设施家族分布 other 遭受攻击的关键基础设施有半数分布在国内(50%),其次是美国(20%),澳大利亚(5%)和加拿大(3%)。其中,国内以香港、江苏省、北京市受攻击最为严重。 其他 21% 加拿大3% 澳大利亚5% 中国50% 美国20% 中国美国 澳大利亚加拿大德国 法国新加坡波兰俄罗斯荷兰其他 图2.3遭受DDoS攻击的关键基础设施的地理分布 香港特别行政区江苏省北京市广东省上海市 图2.4遭受攻击的关键基础设施国内分布 从受攻击的关键基础设施的行业分布来看,教育行业遭受的攻击最为严重,39%的攻击活动都针对该行业,其次是电力(34%)和金融行业(12%),此外,政府机构,航空业以及能源部门也受到波及。 政府 6% 建筑6% 金融12% 教育39% 电力34% 教育电力金融建筑政府航空能源医疗其他 图2.5遭受攻击的关键基础设施的行业分布 2.2僵尸网络成为高级威胁攻击的跳板 化 僵尸网络控制者将失陷主机利益最大化的尝试一直未曾减弱,使得其攻击活动呈现复杂 、多元化趋势,常被用来传播其他各类恶意软件。此外,还存在着僵尸网络与其他高级威胁攻击相互配合的情况,形成了复杂的攻击链,在此过程中充当排头兵角色,为后续APT或勒索活动提供关键的跳板作用。 图2.6僵尸网络成为其他高级威胁跳板 在Linux/IoT平台上,虽有DDoS僵尸网络占据主导地位,但新兴的具备后门及代理能力的家族亦在不断出现。此外,Linux/IoT僵尸网络大多通过较为陈旧的漏洞进行构建与扩展,即攻击者采用普通手法就能轻易突破防线,这有利于其再次利用相同途径投放高定制化和强隐匿性工具,极大增加了网络安全风险。 Windows平台上,多有以服务提供者身份存在的僵尸网络,为其他类恶意软件提供投递渠道,这使得它们具备了作为APT哨兵的天然优势。 上述情况使得僵尸网络在APT攻击活动中的参与度逐渐上升,一方面体现在基础设施的复用上。Andromeda僵尸网络是一个较为“古老”的僵尸网络,最早于2011年开始活跃,常被用于传播其他恶意软件,后因受多国执法机构联合打击而覆灭。然而在2022年后期至2023年初,APT组织Turla通过注册Andromeda已失效的C&C,并经潜伏后下发部署了Turla常用的KopiLuwak和QUIETCANARY恶意软件进行后续攻击活动。 另一方面,僵尸网络家族木马本体介入了APT活动的后渗透阶段。Amadey木马于2018年10月左右出现在国外黑客论坛,具备远程受控、信息窃取、脚本执行、DDoS攻击以及内网横移等威胁能力。2023年11月,该家族被发现出现在APT组织盲眼鹰的攻击活动中。攻击者在其惯用的PDF鱼叉钓鱼攻击链中使用该家族,将其作为攻击载荷来加载 运行。 由此可见,APT组织会不断尝试新的攻击手段,将僵尸网络纳入其中,以进行立足点获取、情报探测搜集及定向攻击等活动,这无疑给网络威胁的检测、防范与归因带来了新的挑战。 0僵感尸染全网3景络入侵与 根据本年度监测数据,僵尸网络的入侵手段与往年基本一致。 Linux/IoT平台仍为僵尸网络主要感染目标,其入侵传播途径为弱口令爆破与漏洞利用。此现象一方面源于Linux/IoT普通用户鲜少更改初始用户名与口令;另一方面,相关的IoT设备厂商众多,安全状况良莠不齐,存在不同程度的脆弱性。此外,IoT木马与漏洞剥离的趋势开始出现,正朝Windows方向发展,使用独立的传播模块来提高可控性,同时隐藏攻击者资源,以防止0day漏洞与木马本体被捕获分析一锅端,这也加大了安全拦截的难度。 在Windows平台上,窃密木马和流氓软件依旧肆虐,钓鱼传播与供应链传播依然是主流手段。攻击者通过钓鱼电子邮件侵入系统内部,或借助第三方下载站或自建钓鱼网站托管的带毒工具进行传播,或利用即时通信软件发起社工攻击实现入侵,有的甚至采用组合拳的方式,目的便是尽其所能扩大感染面,以构建更庞大的僵尸网络来窃取更多信息,来实现利益最大化。 3.1路由器成为最常被攻击的设备 物联网设备的数量迅速增长,在带来便利同时也引入诸多安全问题。这些设备维护性差,漏洞修复缓慢,故屡屡成为黑客的攻击目标。大量设备采用默认登录凭证或者弱密码,攻击者只需通过简单机械的暴力破解便能轻松突破。加之漏洞频出、补丁更新不及时及缺少内置安全防护,导致这些设备成为僵尸网络滋生的温床。 图3.1万物互联增加了暴露面 路由器由于无处不在而又长时间连接的特点成为最常被攻击的设备。此外,根据伏影实验室抽样统计,易受攻击的设备/平台还包括摄像头、CMS、NVR与NAS。 路由器 38% Web服务器4% NAS4% NVR6% CMS6% 摄像头 7% 图3.2Linux/IoT设备漏洞分布 3.2携带漏洞年代跨度大,不断集成新漏洞 2023年度,绿盟科技伏影实验室全球威胁狩猎系统监测数据显示,Linux/IoT僵尸网络 的漏洞利用整体分布情况与往年相似,累计监测到僵尸网络木马利用超过150多种不同的漏洞进行传播。 尽管这些漏洞年代跨度较大,但由于IoT设备在更新和维护方面的延迟性,使得这些漏洞杀伤力强,此外,由于Linux/IoT木马的运营门槛较低且竞争激烈,导致其黑产团伙竞相争抢失陷主机节点,迫使漏洞利用转化周期越来越短。 2023年度检测到IoT木马携带的新增漏洞为: 排名 1