2023年度Botnet趋势报告

关于绿盟科技 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于2000年4月，总部位于北京。公司于2014年1月29日起在深圳证券交易所创业板上市，证券代码：300369。绿盟科技在国内设有40多个分支机构，为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡设立海外子公司，深入开展全球业务，打造全球网络安全行业的中国品牌。 关于伏影实验室 研究目标包括Botnet、APT高级威胁，DDoS对抗，WEB对抗，流行服务系统脆弱利用威胁、身份认证威胁，数字资产威胁，黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险，缓解威胁伤害，为威胁对抗提供决策支撑。 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 CONTENTS 01 执行摘要1 02 僵尸网络发展趋势4 2.1针对关基的攻击愈演愈烈，教育行业尤为严重5 2.2僵尸网络成为高级威胁攻击的跳板7 03 僵尸网络入侵与感染全景10 3.1路由器成为最常被攻击的设备11 3.2携带漏洞年代跨度大，不断集成新漏洞12 3.3Mirai家族控制设备数最多13 04 僵尸网络攻击全景15 4.1QakBot前三季度C&C数量庞大， Mirai新增C&C数量持续增多16 4.2美国控制的C&C数量最多， 国内C&C主要分布在沿海地区17 4.3Mirai下发指令数最多， UDP类型的DDoS攻击方式备受僵尸网络青睐18 4.4僵尸网络发起的DDoS攻击活动于年底猛增19 4.5中美两国遭受攻击最为严重19 4.6国内发达地区更易遭受攻击20 05 僵尸网络的发展与对抗21 5.1Linux/IoT平台新兴家族与变种频繁活跃22 5.2Windows平台僵尸网络木马家族对抗性持续增强28 5.3新兴家族攻击方式与反追踪思路推陈出新30 5.4僵尸网络新兴团伙活动35 06 未来展望——僵尸网络发展趋势预测43 0执行1摘要 2023BOTNET趋势报告 2023年，全球网络安全环境持续恶化，僵尸网络发动的攻击活动日益猖獗。这些活跃的僵尸网络所展现出的特征，与绿盟科技伏影实验室去年的预测高度吻合。 入侵与感染方面，随着网络设备和接口数量的高速增长，攻击者可利用的暴露面也在不断扩大。弱口令、安全漏洞、钓鱼网站与邮件、社交工程等入侵手段仍然备受攻击者的青睐。受害者的地理分布与当地经济条件密切相关，发达地区的网络安全风险尤为突出，容易成为僵尸网络的重点攻击目标。关键基础设施遭受攻击的情况日益严重，网络安全建设薄弱的部门成为攻击者渗透的首选目标，其中教育行业尤为明显。 文件侧隐匿方面，僵尸网络新家族除了使用常规的规避手段以外，“混淆视听”正在流行，“混淆视听”是指通过使用已知家族代码对杀毒软件检测结果进行混淆，隐匿新家族身份。编程语言选择上，使用Golang、Rust等易编程语言的木马家族数量正持续增加，这类语言构建时的打包、内联特性会在二进制层面增加了数量巨大的额外代码，在某种程度上对静态分析检测造成困难。此外，攻击者向木马主动或被动添加垃圾与冗余代码，导致恶意软件体积扩大，进而影响杀软的判断与识别。 通信侧隐匿方面，除隧道、DGA外，近两年一些新型对抗手段也在走向实践。攻击者深知僵尸网络追踪的一般思路，在通信细节处做出修改，为安全检测与研究制造障碍。OpenNIC、ClouDNS这类非传统DNS解析方式逐渐兴起，被用来隐藏C&C真实IP地址；使用云笔记作为木马托管平台的活动开始增多，这种手段作为云平台充当C&C形式的扩展延伸，在流量侧与IP侧均实现了隐藏效果；此外，利用第三方平台检测家庭或机房IP以及被动连接上线机制亦有现身，旨在对抗在线沙箱检测。 扩大影响力方面，越来越多的僵尸网络团伙采取高调宣传策略，他们直接利用互联网进行宣传，将YouTube、Twitter这样的社交媒体作为他们的活动阵地。此外，即时通讯平台亦是这些团伙的活动聚集地，如QQ，Discord及Telegram，这些通讯平台因用户多和隐匿性强而受到众多攻击者的欢迎。 发展轨迹方面，僵尸网络团伙在攫取利益方面有着大而统一的发展总路线。主要体现在从无到有、从低到高、从单平台到多平台、从单一业务到DDoS和挖矿通吃的过程。部分中小团伙路线清晰，在追求自主性的同时兼顾初创效率，快速搭建业务框架以期缩短回本时间，待业务框架稍有成形，再做添砖加瓦活动。有的团伙变更频繁甚至反复，在保持弹性、兼顾利益与效率方面不断尝试探索。还有团伙实现了身份拔高与业务转型，从无人问津的木马托管者摇身一变，成为攻击活动的控制者与运营者。此外，我们也观察到一些大型团伙的身影， 2 执行摘要 他们大肆发展线上与线下人员，组织起一个层次分明而灵活多变的攻击团伙，以尽可能扩大攻击面，来窃取更多的用户数据以求变现。 此外，随着世界局势的复杂变化，更高级别的势力开始渗入，也让部分僵尸网络开始介入地缘政治。 3 0僵发尸展趋网2势络 2.1针对关基的攻击愈演愈烈，教育行业尤为严重 2023年，关键基础设施遭受分布式拒绝服务（DDoS）攻击的事件频繁发生。二月，德国多家机场遭受DDoS攻击，导致网站无法访问。六月，希腊教育部遭遇严重的DDoS网络攻击，全国考试受到干扰。同期，DarknetParliament黑客联盟将目标对准西方银行和SWIFT网络，实施大规模DDoS攻击活动。 绿盟科技伏影实验室依托全球威胁狩猎系统，全年累计监测到1400余起较大规模的由僵尸网络发起的针对关键基础设施的攻击活动。从时间分布来看，攻击活动在八月与九月最为频繁，单月最高可达350起。 400 350 300 250 200 150 100 50 0 1月2月3月4月5月6月7月8月9月10月11月12月 图2.1关键基础设施遭受攻击次数月度分布 监测数据显示，攻击关键基础设施的僵尸网络家族集中在传统类家族，包括Mira（iXorDDoS（20%），Gafgyt（14%）以及新型变种家族hailBot（2%）。 64%）， Gafgyt14% XORDDoS20% Mirai64% hailbot2% Mirai XORDDoS Gafgythailbot 图2.2攻击关键基础设施家族分布 other 遭受攻击的关键基础设施有半数分布在国内（50%），其次是美国（20%），澳大利亚（5%）和加拿大（3%）。其中，国内以香港、江苏省、北京市受攻击最为严重。 其他 21% 加拿大3% 澳大利亚5% 中国50% 美国20% 中国美国 澳大利亚加拿大德国 法国新加坡波兰俄罗斯荷兰其他 图2.3遭受DDoS攻击的关键基础设施的地理分布 香港特别行政区江苏省北京市广东省上海市 图2.4遭受攻击的关键基础设施国内分布 从受攻击的关键基础设施的行业分布来看，教育行业遭受的攻击最为严重，39%的攻击活动都针对该行业，其次是电力（34%）和金融行业（12%），此外，政府机构，航空业以及能源部门也受到波及。 政府 6% 建筑6% 金融12% 教育39% 电力34% 教育电力金融建筑政府航空能源医疗其他 图2.5遭受攻击的关键基础设施的行业分布 2.2僵尸网络成为高级威胁攻击的跳板 化 僵尸网络控制者将失陷主机利益最大化的尝试一直未曾减弱，使得其攻击活动呈现复杂 、多元化趋势，常被用来传播其他各类恶意软件。此外，还存在着僵尸网络与其他高级威胁攻击相互配合的情况，形成了复杂的攻击链，在此过程中充当排头兵角色，为后续APT或勒索活动提供关键的跳板作用。 图2.6僵尸网络成为其他高级威胁跳板 在Linux/IoT平台上，虽有DDoS僵尸网络占据主导地位，但新兴的具备后门及代理能力的家族亦在不断出现。此外，Linux/IoT僵尸网络大多通过较为陈旧的漏洞进行构建与扩展，即攻击者采用普通手法就能轻易突破防线，这有利于其再次利用相同途径投放高定制化和强隐匿性工具，极大增加了网络安全风险。 Windows平台上，多有以服务提供者身份存在的僵尸网络，为其他类恶意软件提供投递渠道，这使得它们具备了作为APT哨兵的天然优势。 上述情况使得僵尸网络在APT攻击活动中的参与度逐渐上升，一方面体现在基础设施的复用上。Andromeda僵尸网络是一个较为“古老”的僵尸网络，最早于2011年开始活跃，常被用于传播其他恶意软件，后因受多国执法机构联合打击而覆灭。然而在2022年后期至2023年初，APT组织Turla通过注册Andromeda已失效的C&C，并经潜伏后下发部署了Turla常用的KopiLuwak和QUIETCANARY恶意软件进行后续攻击活动。 另一方面，僵尸网络家族木马本体介入了APT活动的后渗透阶段。Amadey木马于2018年10月左右出现在国外黑客论坛，具备远程受控、信息窃取、脚本执行、DDoS攻击以及内网横移等威胁能力。2023年11月，该家族被发现出现在APT组织盲眼鹰的攻击活动中。攻击者在其惯用的PDF鱼叉钓鱼攻击链中使用该家族，将其作为攻击载荷来加载 运行。 由此可见，APT组织会不断尝试新的攻击手段，将僵尸网络纳入其中，以进行立足点获取、情报探测搜集及定向攻击等活动，这无疑给网络威胁的检测、防范与归因带来了新的挑战。 0僵感尸染全网3景络入侵与 根据本年度监测数据，僵尸网络的入侵手段与往年基本一致。 Linux/IoT平台仍为僵尸网络主要感染目标，其入侵传播途径为弱口令爆破与漏洞利用。此现象一方面源于Linux/IoT普通用户鲜少更改初始用户名与口令；另一方面，相关的IoT设备厂商众多，安全状况良莠不齐，存在不同程度的脆弱性。此外，IoT木马与漏洞剥离的趋势开始出现，正朝Windows方向发展，使用独立的传播模块来提高可控性，同时隐藏攻击者资源，以防止0day漏洞与木马本体被捕获分析一锅端，这也加大了安全拦截的难度。 在Windows平台上，窃密木马和流氓软件依旧肆虐，钓鱼传播与供应链传播依然是主流手段。攻击者通过钓鱼电子邮件侵入系统内部，或借助第三方下载站或自建钓鱼网站托管的带毒工具进行传播，或利用即时通信软件发起社工攻击实现入侵，有的甚至采用组合拳的方式，目的便是尽其所能扩大感染面，以构建更庞大的僵尸网络来窃取更多信息，来实现利益最大化。 3.1路由器成为最常被攻击的设备 物联网设备的数量迅速增长，在带来便利同时也引入诸多安全问题。这些设备维护性差，漏洞修复缓慢，故屡屡成为黑客的攻击目标。大量设备采用默认登录凭证或者弱密码，攻击者只需通过简单机械的暴力破解便能轻松突破。加之漏洞频出、补丁更新不及时及缺少内置安全防护，导致这些设备成为僵尸网络滋生的温床。 图3.1万物互联增加了暴露面 路由器由于无处不在而又长时间连接的特点成为最常被攻击的设备。此外，根据伏影实验室抽样统计，易受攻击的设备/平台还包括摄像头、CMS、NVR与NAS。 路由器 38% Web服务器4% NAS4% NVR6% CMS6% 摄像头 7% 图3.2Linux/IoT设备漏洞分布 3.2携带漏洞年代跨度大，不断集成新漏洞 2023年度，绿盟科技伏影实验室全球威胁狩猎系统监测数据显示，Linux/IoT僵尸网络 的漏洞利用整体分布情况与往年相似，累计监测到僵尸网络木马利用超过150多种不同的漏洞进行传播。 尽管这些漏洞年代跨度较大，但由于IoT设备在更新和维护方面的延迟性，使得这些漏洞杀伤力强，此外，由于Linux/IoT木马的运营门槛较低且竞争激烈，导致其黑产团伙竞相争抢失陷主机节点，迫使漏洞利用转化周期越来越短。 2023年度检测到IoT木马携带的新增漏洞为： 排名 1