1、CONTENTS关于绿盟科技绿盟科技集团股份有限公司(以下简称绿盟科技),成立于 2000年 4 月,总部位于北京。公司于 2014 年 1 月 29 日起在深圳证券交易所创业板 上市,证券代码:300369。绿盟科技在国内设有 40 多个分支机构,为政 府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国 硅谷、日本东京、英国伦敦、新加坡设立海外子公司,深入开展全球业务,打造全球网络安全行业的中国品牌。版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到
2、有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。关于伏影实验室研究目标包括 Botnet、APT 高级威胁,DDoS 对抗,WEB 对抗,流行服务系统脆弱利用威胁、身份认证威胁,数字资产威胁,黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险,缓解威胁伤害,为威胁对抗提供决策支撑。CONTENTS01执行摘要102僵尸网络发展趋势42.1针对关基的攻击愈演愈烈,教育行业尤为严重52.2僵尸网络成为高级威胁攻击的跳板703僵尸网络入侵与感染全景103.1路由器成为最常被攻击的设备113.2携带漏洞年代跨度大,不断集成新漏洞123.3Mira
3、i 家族控制设备数最多1304僵尸网络攻击全景154.1QakBot 前三季度 C&C 数量庞大,Mirai 新增 C&C 数量持续增多164.2美国控制的 C&C 数量最多,国内 C&C 主要分布在沿海地区174.3Mirai 下发指令数最多,UDP 类型的 DDoS 攻击方式备受僵尸网络青睐18CONTENTS4.4僵尸网络发起的 DDoS 攻击活动于年底猛增194.5中美两国遭受攻击最为严重194.6国内发达地区更易遭受攻击2005僵尸网络的发展与对抗215.1Linux/IoT 平台新兴家族与变种频繁活跃225.2Windows 平台僵尸网络木马家族对抗性持续增强285.3新兴家族攻击
4、方式与反追踪思路推陈出新305.4僵尸网络新兴团伙活动3506未来展望僵尸网络发展趋势预测43执行摘要0122023 BOTNET 趋势报告2023 年,全球网络安全环境持续恶化,僵尸网络发动的攻击活动日益猖獗。这些活跃的僵尸网络所展现出的特征,与绿盟科技伏影实验室去年的预测高度吻合。入侵与感染方面,随着网络设备和接口数量的高速增长,攻击者可利用的暴露面也在不断扩大。弱口令、安全漏洞、钓鱼网站与邮件、社交工程等入侵手段仍然备受攻击者的青睐。受害者的地理分布与当地经济条件密切相关,发达地区的网络安全风险尤为突出,容易成为僵尸网络的重点攻击目标。关键基础设施遭受攻击的情况日益严重,网络安全建设薄弱
5、的部门成为攻击者渗透的首选目标,其中教育行业尤为明显。文件侧隐匿方面,僵尸网络新家族除了使用常规的规避手段以外,“混淆视听”正在流行,“混淆视听”是指通过使用已知家族代码对杀毒软件检测结果进行混淆,隐匿新家族身份。编程语言选择上,使用 Golang、Rust 等易编程语言的木马家族数量正持续增加,这类语言构建时的打包、内联特性会在二进制层面增加了数量巨大的额外代码,在某种程度上对静态分析检测造成困难。此外,攻击者向木马主动或被动添加垃圾与冗余代码,导致恶意软件体积扩大,进而影响杀软的判断与识别。通信侧隐匿方面,除隧道、DGA 外,近两年一些新型对抗手段也在走向实践。攻击者深知僵尸网络追踪的一般
6、思路,在通信细节处做出修改,为安全检测与研究制造障碍。OpenNIC、ClouDNS 这类非传统 DNS 解析方式逐渐兴起,被用来隐藏 C&C 真实 IP 地址;使用云笔记作为木马托管平台的活动开始增多,这种手段作为云平台充当 C&C 形式的扩展延伸,在流量侧与 IP 侧均实现了隐藏效果;此外,利用第三方平台检测家庭或机房 IP 以及被动连接上线机制亦有现身,旨在对抗在线沙箱检测。扩大影响力方面,越来越多的僵尸网络团伙采取高调宣传策略,他们直接利用互联网进行宣传,将 YouTube、Twitter 这样的社交媒体作为他们的活动阵地。此外,即时通讯平台亦是这些团伙的活动聚集地,如 QQ,Disc
7、ord 及 Telegram,这些通讯平台因用户多和隐匿性强而受到众多攻击者的欢迎。发展轨迹方面,僵尸网络团伙在攫取利益方面有着大而统一的发展总路线。主要体现在从无到有、从低到高、从单平台到多平台、从单一业务到 DDoS 和挖矿通吃的过程。部分中小团伙路线清晰,在追求自主性的同时兼顾初创效率,快速搭建业务框架以期缩短回本时间,待业务框架稍有成形,再做添砖加瓦活动。有的团伙变更频繁甚至反复,在保持弹性、兼顾利益与效率方面不断尝试探索。还有团伙实现了身份拔高与业务转型,从无人问津的木马托管者摇身一变,成为攻击活动的控制者与运营者。此外,我们也观察到一些大型团伙的身影,3执行摘要他们大肆发展线上与线
8、下人员,组织起一个层次分明而灵活多变的攻击团伙,以尽可能扩大攻击面,来窃取更多的用户数据以求变现。此外,随着世界局势的复杂变化,更高级别的势力开始渗入,也让部分僵尸网络开始介入地缘政治。02僵尸网络发展趋势5僵尸网络发展趋势2.1 针对关基的攻击愈演愈烈,教育行业尤为严重2023 年,关键基础设施遭受分布式拒绝服务(DDoS)攻击的事件频繁发生。二月,德国多家机场遭受 DDoS 攻击,导致网站无法访问。六月,希腊教育部遭遇严重的 DDoS 网络攻击,全国考试受到干扰。同期,Darknet Parliament 黑客联盟将目标对准西方银行和SWIFT 网络,实施大规模 DDoS 攻击活动。绿盟科
9、技伏影实验室依托全球威胁狩猎系统,全年累计监测到 1400 余起较大规模的由僵尸网络发起的针对关键基础设施的攻击活动。从时间分布来看,攻击活动在八月与九月最为频繁,单月最高可达 350 起。0501001502002503003504001月2月3月4月5月6月7月8月9月10月11月12月关键基础设施遭受攻击次数图 2.1 关键基础设施遭受攻击次数月度分布监测数据显示,攻击关键基础设施的僵尸网络家族集中在传统类家族,包括Mirai(64%),XorDDoS(20%),Gafgyt(14%)以及新型变种家族 hailBot(2%)。62023 BOTNET 趋势报告Mirai 64%XORDD
10、oS 20%Gafgyt 14%hailbot 2%MiraiXORDDoSGafgythailbotother图 2.2 攻击关键基础设施家族分布遭受攻击的关键基础设施有半数分布在国内(50%),其次是美国(20%),澳大利亚(5%)和加拿大(3%)。其中,国内以香港、江苏省、北京市受攻击最为严重。中国 50%美国 20%澳大利亚 5%加拿大 3%其他21%中国美国澳大利亚加拿大德国法国新加坡波兰俄罗斯荷兰其他图 2.3 遭受 DDoS 攻击的关键基础设施的地理分布7僵尸网络发展趋势香港特别行政区江苏省北京市广东省上海市国内遭受攻击的关基的分布图 2.4 遭受攻击的关键基础设施国内分布从受攻
11、击的关键基础设施的行业分布来看,教育行业遭受的攻击最为严重,39%的攻击活动都针对该行业,其次是电力(34%)和金融行业(12%),此外,政府机构,航空业以及能源部门也受到波及。教育 39%电力 34%金融 12%建筑 6%政府6%教育电力金融建筑政府航空能源医疗其他图 2.5 遭受攻击的关键基础设施的行业分布2.2 僵尸网络成为高级威胁攻击的跳板僵尸网络控制者将失陷主机利益最大化的尝试一直未曾减弱,使得其攻击活动呈现复杂化、多元化趋势,常被用来传播其他各类恶意软件。此外,还存在着僵尸网络与其他高级威胁攻击相互配合的情况,形成了复杂的攻击链,在此过程中充当排头兵角色,为后续 APT 或勒索活动
12、提供关键的跳板作用。82023 BOTNET 趋势报告 2024 绿绿盟盟科科技技 密级:请输入文档密级-4-2.2 僵僵尸尸网网络络成成为为高高级级威威胁胁攻攻击击的的跳跳板板 僵尸网络控制者将失陷主机利益最大化的尝试一直未曾减弱,使得其攻击活动呈现复杂化、多元化趋势,常被用来传播其他各类恶意软件。此外,还存在着僵尸网络与其他高级威胁攻击相互配合的情况,形成了复杂的攻击链,在此过程中充当排头兵角色,为后续 APT 或勒索活动提供关键的跳板作用。图 2.6 僵尸网络成为其他高级威胁跳板 在 Linux/IoT 平台上,虽有 DDoS 僵尸网络占据主导地位,但新兴的具备后门及代理能力的家族亦在不
13、断出现。此外,Linux/IoT 僵尸网络大多通过较为陈旧的漏洞进行构建与扩展,即攻击者采用普通手法就能轻易突破防线,这有利于其再次利用相同途径投放高定制化和强隐匿性工具,极大增加了网络安全风险。Windows 平台上,多有以服务提供者身份存在的僵尸网络,为其他类恶意软件提供投递渠道,这使得它们具备了作为 APT 哨兵的天然优势。上述情况使得僵尸网络在 APT 攻击活动中的参与度逐渐上升,一方面体现在基础设施的复用上。Andromeda 僵尸网络是一个较为“古老”的僵尸网络,最早于 2011 年开始活跃,常被用于传播其他恶意软件,后因受多国执法机构联合打击而覆灭。然而在 2022 年后期至20
14、23 年初,APT 组织 Turla 通过注册 Andromeda 已失效的 C&C,并经潜伏后下发部署了Turla 常用的 KopiLuwak 和 QUIETCANARY 恶意软件进行后续攻击活动。图 2.6 僵尸网络成为其他高级威胁跳板在 Linux/IoT 平台上,虽有 DDoS 僵尸网络占据主导地位,但新兴的具备后门及代理能力的家族亦在不断出现。此外,Linux/IoT 僵尸网络大多通过较为陈旧的漏洞进行构建与扩展,即攻击者采用普通手法就能轻易突破防线,这有利于其再次利用相同途径投放高定制化和强隐匿性工具,极大增加了网络安全风险。Windows 平台上,多有以服务提供者身份存在的僵尸网
15、络,为其他类恶意软件提供投递渠道,这使得它们具备了作为 APT 哨兵的天然优势。上述情况使得僵尸网络在 APT 攻击活动中的参与度逐渐上升,一方面体现在基础设施的复用上。Andromeda 僵尸网络是一个较为“古老”的僵尸网络,最早于 2011 年开始活跃,常被用于传播其他恶意软件,后因受多国执法机构联合打击而覆灭。然而在 2022 年后期至2023 年初,APT 组织 Turla 通过注册 Andromeda 已失效的 C&C,并经潜伏后下发部署了Turla 常用的 KopiLuwak 和 QUIETCANARY 恶意软件进行后续攻击活动。另一方面,僵尸网络家族木马本体介入了 APT 活动的
16、后渗透阶段。Amadey 木马于2018 年 10 月左右出现在国外黑客论坛,具备远程受控、信息窃取、脚本执行、DDoS 攻击以及内网横移等威胁能力。2023 年 11 月,该家族被发现出现在 APT 组织盲眼鹰的攻击活动中。攻击者在其惯用的 PDF 鱼叉钓鱼攻击链中使用该家族,将其作为攻击载荷来加载9僵尸网络发展趋势运行。由此可见,APT组织会不断尝试新的攻击手段,将僵尸网络纳入其中,以进行立足点获取、情报探测搜集及定向攻击等活动,这无疑给网络威胁的检测、防范与归因带来了新的挑战。03僵尸网络入侵与感染全景11僵尸网络入侵与感染全景根据本年度监测数据,僵尸网络的入侵手段与往年基本一致。Lin
17、ux/IoT 平台仍为僵尸网络主要感染目标,其入侵传播途径为弱口令爆破与漏洞利用。此现象一方面源于 Linux/IoT 普通用户鲜少更改初始用户名与口令;另一方面,相关的 IoT设备厂商众多,安全状况良莠不齐,存在不同程度的脆弱性。此外,IoT 木马与漏洞剥离的趋势开始出现,正朝 Windows 方向发展,使用独立的传播模块来提高可控性,同时隐藏攻击者资源,以防止 0day 漏洞与木马本体被捕获分析一锅端,这也加大了安全拦截的难度。在 Windows 平台上,窃密木马和流氓软件依旧肆虐,钓鱼传播与供应链传播依然是主流手段。攻击者通过钓鱼电子邮件侵入系统内部,或借助第三方下载站或自建钓鱼网站托管
18、的带毒工具进行传播,或利用即时通信软件发起社工攻击实现入侵,有的甚至采用组合拳的方式,目的便是尽其所能扩大感染面,以构建更庞大的僵尸网络来窃取更多信息,来实现利益最大化。3.1 路由器成为最常被攻击的设备物联网设备的数量迅速增长,在带来便利同时也引入诸多安全问题。这些设备维护性差,漏洞修复缓慢,故屡屡成为黑客的攻击目标。大量设备采用默认登录凭证或者弱密码,攻击者只需通过简单机械的暴力破解便能轻松突破。加之漏洞频出、补丁更新不及时及缺少内置安全防护,导致这些设备成为僵尸网络滋生的温床。2024 绿绿盟盟科科技技 密级:请输入文档密级-6-图 3.1 万物互联增加了暴露面 路由器由于无处不在而又长
19、时间连接的特点成为最常被攻击的设备。此外,根据伏影实验室抽样统计,易受攻击的设备/平台还包括摄像头、CMS、NVR 与 NAS。图 3.2 Linux/IoT 设备漏洞分布 图 3.1 万物互联增加了暴露面122023 BOTNET 趋势报告路由器由于无处不在而又长时间连接的特点成为最常被攻击的设备。此外,根据伏影实验室抽样统计,易受攻击的设备/平台还包括摄像头、CMS、NVR 与 NAS。路由器38%摄像头7%CMS6%NVR6%NAS4%Web服务器4%设备漏洞分布设备漏洞分布图 3.2 Linux/IoT 设备漏洞分布3.2 携带漏洞年代跨度大,不断集成新漏洞2023 年度,绿盟科技伏影
20、实验室全球威胁狩猎系统监测数据显示,Linux/IoT 僵尸网络的漏洞利用整体分布情况与往年相似,累计监测到僵尸网络木马利用超过 150 多种不同的漏洞进行传播。尽管这些漏洞年代跨度较大,但由于 IoT 设备在更新和维护方面的延迟性,使得这些漏洞杀伤力强,此外,由于 Linux/IoT 木马的运营门槛较低且竞争激烈,导致其黑产团伙竞相争抢失陷主机节点,迫使漏洞利用转化周期越来越短。2023 年度检测到 IoT 木马携带的新增漏洞为:排名新增漏洞名称1CVE-2023-268012CVE-2023-13893CVE-2023-26802总体排名上,各家族木马携带和利用最多的漏洞分别是:13僵尸网
21、络入侵与感染全景排名漏洞名称1CVE-2017-172152MVPower DVR TV-7104HE 1.8.4 115215B9 Shell 命令注入3CVE-2014-83614CVE-2018-105615ThinkPHP 5.X 远程命令执行6ZyXEL 路由器 P660HN-T v1 权限提升CVE-2017-1721525%MVPower DVR TV-7104HE 1.8.4 115215B9 Shell Command Execution9%CVE-2014-83618%CVE-2018-105618%ThinkPHP 5.X-Remote Command Execution
22、5%other12%CVE-2017-17215MVPower DVR TV-7104HE 1.8.4115215B9 Shell Command ExecutionCVE-2014-8361CVE-2018-10561ThinkPHP 5.X-Remote CommandExecutionZyXEL P660HN-T v1 ViewLog.aspprivilege escalationCVE-2015-2051图 3.3 2023 年 IoT 漏洞利用分布3.3 Mirai 家族控制设备数最多监测数据显示,Mirai 和 Gafgyt 及两者衍生出的变种家族控制设备数常年居高不下,是IoT
23、平台最大的威胁源。33%的受感染设备由 Mirai 家族控制,修改 Mirai 源码而来的新型变种家族 Lockerbot 和 Miori 控制设备数占比已发展至 5%和 3%。Mozi 僵尸网络家族 P2P 结构具备较高的稳定性,在其控制者被执法部门拘留后,至今仍有相当数量的肉鸡。新兴家族hailBot 不断攻陷新设备,发展势头正猛。142023 BOTNET 趋势报告mirai 33%Mozi 24%Muhstik 11%Gafgyt 7%billgates5%LockerBot5%Miori3%miraiMoziMuhstikGafgytbillgatesLockerBotMioriNI
24、TOLhailBotVapeBotgh0stXORDDoSCatDDoS图 3.4 各家族感染设备数04僵尸网络攻击全景162023 BOTNET 趋势报告4.1 QakBot 前三季度 C&C 数量庞大,Mirai 新增 C&C 数量持续增多2023 年度,绿盟科技伏影实验室全球威胁狩猎系统的监测数据显示,Windows 平台的QakBot 在被执法部门接管前拥有大量 C&C 基础设施,仅前三季度的 C&C 总量就占据全年监测到所有家族 C&C 总和的 29%;IoT 平台 Mirai 及其变种控制的 C&C 数量最多,占总数的27%,紧随其后的是传统类僵尸网络家族 Gafgyt(7%)和新
25、型变种家族 hailBot(7%)。05001000150020002500数量 QakBot29%Mirai27%hailbot7%Gafgyt7%Miori6%gh0st5%billgates3%Pikabot2%CaDDoS1%僵尸网络各家族C&C占比QakBotMiraihailbotGafgytMiorigh0stbillgatesBumbleBeePikabotfbotxorddosTSUNAMIqudongrenshengNITOLDOFLOONekonebotRofinyi20CatDDoSZnaichMuhstikHYBRIDMQperlIRCBOTKiraiBotyunch
26、an图 4.1 僵尸网络各家族 C&C 数量及占比几个热门僵尸网络家族新增 C&C 数量在 6 月份左右达到峰值,之后开始下降;其中,Mirai 作为当今热门的头号僵尸网络之一,其单月 C&C 最高达 325 个;XorDDoS C&C 数量变动呈现一定的周期性,这与其运营团伙活动情况存在关联;Windows 平台新型僵尸网络家族 Pikabot C&C 数量于年底开始增多,发展势头正盛。17僵尸网络攻击全景609778911148193828654335292702275564910500100015002000250030003500123456789101112图表标题 12345678
27、9101112MiraiGafgytXorDDoSQakBotPikabot图 4.2 新增 C&C 数月度变化4.2 美国控制的 C&C 数量最多,国内 C&C 主要分布在沿海地区绿盟科技伏影实验室全球威胁狩猎系统监测数据显示,全球范围内美国境内的僵尸网络主控端数量最多,占到 27%,其次为中国,荷兰和加拿大,依次为 13%,5%和 4%;在国内,C&C 主要分布在香港,广东和上海等云主机较为丰富的沿海地区。美国 27%中国 13%荷兰 5%加拿大 4%英国4%德国4%日本3%印度3%法国3%other24%美国中国荷兰加拿大英国德国日本印度法国俄罗斯韩国新加坡意大利保加利亚other 05
28、0100150200250300350国内分布图 4.3 C&C 地域分布上述 C&C 总数超过 9000 个,分属于 800 个以上的云服务商/运营商,其中亚马逊、DigitalOcean 和 Delis 最受攻击者青睐。相比国内,这些海外云服务提供商允许用户非实名化注册,有利于攻击者隐藏身份并规避法律法规风险。182023 BOTNET 趋势报告亚马逊16%DigitalOcean,LLC10%Delis LLC9%中国电信9%腾讯7%阿里云5%中国联通5%FranTech Solutions5%Facebook,Inc.3%C&C所属运营商/云服务商占比亚马逊DigitalOcean,L
29、LCDelis LLC中国电信腾讯阿里云中国联通FranTech SolutionsFacebook,Inc.Twitter Inc.谷歌公司OVH SAS美国电话电报公司威瑞森通信Dropbox,Inc.阿卡迈 FranTech Solutions中国联通阿里云腾讯中国电信Delis LLCDigitalOcean,LLC亚马逊云服务商云服务商图 4.4 C&C 所属运营商/云服务商4.3 Mirai 下发指令数最多,UDP 类型的 DDoS 攻击方式备受僵尸网络青睐各家族下发指令数量各有不同。其中,Mirai 及其变种家族下发指令数量最多,占总数的83%。作为开源家族,Mirai 的变种与
30、 C&C 数量均位列全球之首,肉鸡分布也最广泛,是最活跃的 DDoS 家族。其次是 Gafgyt 和 XorDDoS,分别占到 9%和 5%。从攻击指令类型来看,UDP Flood 持续攀升达到 32%,其次为 SYN Flood(18%)和ACK Flood(9%)。Mirai 83%Gafgyt 9%Xorddos 5%MiraiGafgytXorddosNITOLhailbotLockerBotCatDDoS2maydaySDBOTRDDoSVapeBotTSUNAMIDOFLOOservstartsuBot UDP_FLOOD 32%syn_flood 18%ACK_FLOOD 9%V
31、SE_FLOOD 8%ACK_BYPASS_FLOOD7%mix_flood5%STDHEX_flood4%GREIP_FLOOD4%UDP_FLOODsyn_floodACK_FLOODVSE_FLOODACK_BYPASS_FLOODmix_floodSTDHEX_floodGREIP_FLOODProxy knockback connectionGRETH_FLOODhttp_floodTCP_floodSTD_floodDNS_FLOODWEBSERVER_floodSOCKET_floodCHERNOBYL_floodXTD_floodicmp_floodattack_method_
32、stompfloodSVH_floodRIP_floodHEX_floodattack_method_wrafloodflood_greipUDPRAW_floodUDPFLOOD_floodSYNBYPASS_floodZGO_floodNUKE_floodXMAS_floodOVH_floodSHEX_flood图 4.5 下发指令数统计19僵尸网络攻击全景4.4 僵尸网络发起的 DDoS 攻击活动于年底猛增DDoS 僵尸网络下发指令数的月度变化显示大部分家族均于年底开始提升活跃度。据统计,Mirai作为当今规模最大的DDoS僵尸网络,在2023年年底下发指令数增幅最大,超出其他家族几个数
33、量级。XorDDoS 作为闭源家族,其攻击活动表现出较高的组织性,通常等待合适时机发起攻击,针对的国家地区也相对固定。根据伏影实验室监测,2023 年 XorDDoS 的攻击目标有高达 94%的比例位于中国与美国。而在下发的指令中,有三分之二来自 Ata 团伙。该团伙近年来仅通过两个域名就累计下发了 20 余万条攻击指令,目前是该家族的主要控制者之一。1月2月3月4月5月6月7月8月9月10月11月12月050000100000150000200000250000123456789101112指令数月度变化指令数月度变化 050000100000150000200000250000123456
34、789101112MiraiGafgytXorddosNitolhailbotCatDDoS图 4.6 指令数变化4.5 中美两国遭受攻击最为严重从受害者地理分布来看,美国遭受攻击的次数最多,占据总数的 36%,其次为中国,德国和加拿大,占比依次为 23%,7%和 4%。202023 BOTNET 趋势报告 美国 36%中国 23%德国 7%加拿大 4%法国4%美国中国德国加拿大法国新加坡荷兰韩国巴西俄罗斯波兰澳大利亚土耳其伊朗越南日本沙特阿拉伯西班牙罗马尼亚瑞士芬兰意大利卢森堡其他图 4.7 受害者地理分布4.6 国内发达地区更易遭受攻击国内受害者主要集中在香港,浙江,江苏等地。受害者在地理
35、分布上占比通常与该地的经济发展情况正相关。05000100001500020000250003000035000受害者国内分布图 4.8 国内受害者分布05僵尸网络的发展与对抗222023 BOTNET 趋势报告5.1 Linux/IoT 平台新兴家族与变种频繁活跃2023 年,IoT 平台新型僵尸网络家族与已知家族新变种层出不穷,频繁活跃。开源代码带来的开发门槛及成本降低效应持续发酵,加上黑产活动暗藏的巨大利益,引得大量攻击者趋之若鹜。他们对现有的开源代码框架进行了大量二次开发,加入新型特征,有的甚至互相引用,导致各种基于 Mirai 和 Gafgyt 架构开发的木马源源不绝。这些新变种、新
36、家族采用新的攻击方式,采用修改上线流程以及更改通信方式实现反追踪。2024 绿绿盟盟科科技技 密级:请输入文档密级-14-图 5.1 Mirai 与 Gafgyt 各类变种举例 此外,越来越多的攻击者开始使用 Go 语言构建自己的木马程序,Go 语言是一种具有出色跨平台能力和交叉编译支持的编程语言,其在僵尸网络构建编程中出色的性能表现深受攻击者喜爱。它的打包机制使文件和函数数量巨大,以很好地对抗分析检测,具备促使僵尸网络家族数量快速增长的便利条件。近两年较为活跃的 Linux/IoT Go 语言类型僵尸网络木马如下:表 5.1 使用 Go 语言类型僵尸网络木马 家族名称 披露时间 家族攻击目的
37、 Yeskit 2022-06 DDoS KmsdBot 2022-09 DDoS、挖矿 RedGoBot 2022-12 DDoS WSZero 2022-12 DDoS HinataBot 2023-03 DDoS 图 5.1 Mirai 与 Gafgyt 各类变种举例此外,越来越多的攻击者开始使用 Go 语言构建自己的木马程序,Go 语言是一种具有出色跨平台能力和交叉编译支持的编程语言,其在僵尸网络构建编程中出色的性能表现深受攻击者喜爱。它的打包机制使文件和函数数量巨大,以很好地对抗分析检测,具备促使僵尸网络家族数量快速增长的便利条件。近两年较为活跃的 Linux/IoT Go 语言类型
38、僵尸网络木马如下:表 5.1 使用 Go 语言类型僵尸网络木马家族名称披露时间家族攻击目的Yeskit2022-06DDoSKmsdBot2022-09DDoS、挖矿RedGoBot2022-12DDoSWSZero2022-12DDoSHinataBot2023-03DDoS23僵尸网络的发展与对抗 2024 绿绿盟盟科科技技 密级:请输入文档密级-15-图 5.2 部分 Golang 家族被发现及活动时间线 本节将重点介绍绿盟科技伏影实验室于 2022 至 2023 年检测并追踪变化的 Linux/IoT 家族。1.1.1 5.1.1 Boat 家家族族多多版版本本并并存存 伏影实验室于
39、2022 年 6 月捕获 DDoS 僵尸网络家族 Boat,该家族融合了 Mirai 与 Gafgyt基因片段,一直处于快速迭代状态。从 2022 到 2023,Boat先后在代码结构、扫描方式、网络信道与攻击行为方面先后做出显著调整。从发现至今,Boat 几乎覆盖了所有常见 Linux/IoT 架构。其控制者资产表明 DVR、摄像头、路由器及安卓设备均为其感染目标。同时,该家族多版本同时传播,活动范围极广,种种迹象表明其背后存在活跃且专业化的攻击团伙。详见绿盟科技威胁情报微信公众号文章Boat 僵尸网络家族的演变 图 5.2 部分 Golang 家族被发现及活动时间线本节将重点介绍绿盟科技伏
40、影实验室于 2022 至 2023 年检测并追踪变化的 Linux/IoT 家族。5.1.1 Boat 家族多版本并存伏影实验室于 2022 年 6 月捕获 DDoS 僵尸网络家族 Boat,该家族融合了 Mirai 与 Gafgyt基因片段,一直处于快速迭代状态。从 2022 到 2023,Boat1先后在代码结构、扫描方式、网络信道与攻击行为方面先后做出显著调整。从发现至今,Boat几乎覆盖了所有常见Linux/IoT架构。其控制者资产表明DVR、摄像头、路由器及安卓设备均为其感染目标。同时,该家族多版本同时传播,活动范围极广,种种迹1详见绿盟科技威胁情报微信公众号文章Boat 僵尸网络家
41、族的演变242023 BOTNET 趋势报告象表明其背后存在活跃且专业化的攻击团伙。2024 绿绿盟盟科科技技 密级:请输入文档密级-16-图 5.3 Boat 家族的演变 图 5.4 Boat 控制者“武器库”图 5.3 Boat 家族的演变 2024 绿绿盟盟科科技技 密级:请输入文档密级-16-图 5.3 Boat 家族的演变 图 5.4 Boat 控制者“武器库”图 5.4 Boat 控制者“武器库”25僵尸网络的发展与对抗5.1.2 KmsdBot 引入定向攻击模块KmsdBot1家族于 2022 年 8 月进入人们视线,因其初始加载器 kmsd.exe 而得名,兼具挖矿与 DDoS
42、 功能。该家族基于 Golang 开发,支持 Linux/IoT 与 Windows 跨平台,从 2022至今已更新多个版本。该家族总体以游戏、高端汽车制造行业为攻击目标,定向性高,并于 2022 年 9 月开始出现针对联机平台 FiveM 的定制化 DDoS 功能,将攻击粒度推进至具体服务交互,这一点超出了大多数 DDoS 僵尸网络家族。2024 绿绿盟盟科科技技 密级:请输入文档密级-17-1.1.2 5.1.2 KmsdBot 引引入入定定向向攻攻击击模模块块 KmsdBot家族于 2022 年 8 月进入人们视线,因其初始加载器 kmsd.exe 而得名,兼具挖矿与 DDoS 功能。该
43、家族基于 Golang 开发,支持 Linux/IoT 与 Windows 跨平台,从 2022 至今已更新多个版本。该家族总体以游戏、高端汽车制造行业为攻击目标,定向性高,并于 2022 年 9 月开始出现针对联机平台 FiveM 的定制化 DDoS 功能,将攻击粒度推进至具体服务交互,这一点超出了大多数 DDoS 僵尸网络家族。图 5.5 KmsdBot 的演变 图 5.6 KmsdBot 的攻击方式演变 详见绿盟科技威胁情报微信公众号文章持续更新的 KmsdBot-定制化的僵尸网络家族 图 5.5 KmsdBot 的演变 2024 绿绿盟盟科科技技 密级:请输入文档密级-17-1.1.2
44、 5.1.2 KmsdBot 引引入入定定向向攻攻击击模模块块 KmsdBot家族于 2022 年 8 月进入人们视线,因其初始加载器 kmsd.exe 而得名,兼具挖矿与 DDoS 功能。该家族基于 Golang 开发,支持 Linux/IoT 与 Windows 跨平台,从 2022 至今已更新多个版本。该家族总体以游戏、高端汽车制造行业为攻击目标,定向性高,并于 2022 年 9 月开始出现针对联机平台 FiveM 的定制化 DDoS 功能,将攻击粒度推进至具体服务交互,这一点超出了大多数 DDoS 僵尸网络家族。图 5.5 KmsdBot 的演变 图 5.6 KmsdBot 的攻击方式
45、演变 详见绿盟科技威胁情报微信公众号文章持续更新的 KmsdBot-定制化的僵尸网络家族 图 5.6 KmsdBot 的攻击方式演变5.1.3 hailBot 大规模布局hailBot2僵尸网络由绿盟科技伏影实验室于 2023 年 9 月份首次公开披露,该家族修改自Mirai 源码,通过漏洞利用和弱口令扫描爆破的方式进行传播,支持基于 TCP 和 UDP 协议在内的多种 DDoS 攻击方式。hailBot 的控制者是有计划有组织的多面攻击手,早在 2022 年底就开始基于 Mirai 源代码1详见绿盟科技威胁情报微信公众号文章持续更新的 KmsdBot-定制化的僵尸网络家族2详见绿盟科技威胁情
46、报微信公众号文章hailBot,kiraiBot,catDDoS-多个新型 Mirai 僵尸网络变种来势汹汹262023 BOTNET 趋势报告来构建自己的僵尸网络 早期还曾传播过多个搭载 CVE-2017-11882 漏洞的诱饵文档,主要攻击金融和贸易机构,之后开始面向 IoT 平台进行布局,至今已拥有 500 多个 C&C。10月,2311月,12612月,354050100150200250300350400数月度变化数月度变化图 5.7 hailBot 新增 C&C 数月度变化hailBot 的攻击目标主要集中在新加坡,美国和加拿大等地,我们观察到 hailBot 的多个C&C 的攻击
47、活动完全一致,它们会在同一时刻下发相同的指令来对特定目标发起攻击。这表明 hailBot 是一个拥有多级 C&C 的僵尸网络,这种架构可更好隐藏控制者的核心资产,并极大提高肉鸡数量,同时也利于制造更大规模的 DDoS 攻击。5.1.4 xorbot 新的反追踪思路xorbot1于 2023 年 11 月份首次出现,其初始版本文件大小在 36KB 左右。之后该家族变体出现,文件大小却猛增了近 30 倍,接近 1200KB。新版本因静态链接引入了大量未使用函数,产生了众多无效代码分支,从而影响了杀软静态检测,其检出率曾一度趋于零。2024 绿绿盟盟科科技技 密级:请输入文档密级-19-表明 hai
48、lBot 是一个拥有多级 C&C 的僵尸网络,这种架构可更好隐藏控制者的核心资产,并极大提高肉鸡数量,同时也利于制造更大规模的 DDoS 攻击。1.1.4 5.1.4 xorbot 新新的的反反追追踪踪思思路路 xorbot于 2023 年 11 月份首次出现,其初始版本文件大小在 36KB 左右。之后该家族变体出现,文件大小却猛增了近 30 倍,接近 1200KB。新版本因静态链接引入了大量未使用函数,产生了众多无效代码分支,从而影响了杀软静态检测,其检出率曾一度趋于零。图 5.8 xorbot 文件大小变化 xorbot 是从 0 开始构建的一个新型僵尸网络家族,采用了全新的架构,并且开发
49、者极其重视木马的隐匿性,甚至为了取得更好的隐匿效果不惜牺牲传播效率;在流量侧也是煞费苦心,初始上线交互阶段发送的数据随机生成,并且还引入了加解密算法对关键信息加密存储,使得针对通信流量中字符特征检测的方式失效。不同于大多数传统类型的僵尸网络家族,xorbot 在与控制端建立连接后并不急于主动发送上线包,而是被动等待控制端回复。控制端初次发送的数据是随机生成,并通过持续交互来维持连接不中断,整个过程传输加密内容。图 5.9 xorbot 交互流量 xorbot 是一个正在快速成长中的新型僵尸网络家族,当前版本涵盖了 x86,MIPS,Renesas SH,ARM 在内的多种 CPU 架构,虽然该
50、木马当前版本中并无内置的传播模块,但从恶意样本所表现出的对抗手法和其庞大的传播数量不难推测其背后存在着一个专业化的攻击团伙。详见绿盟科技威胁情报微信公众号文章xorbot-一个检出率趋近于零的新型僵尸网络家族 图 5.8 xorbot 文件大小变化xorbot 是从 0 开始构建的一个新型僵尸网络家族,采用了全新的架构,并且开发者极其重视木马的隐匿性,甚至为了取得更好的隐匿效果不惜牺牲传播效率;在流量侧也是煞费苦1详见绿盟科技威胁情报微信公众号文章xorbot-一个检出率趋近于零的新型僵尸网络家族27僵尸网络的发展与对抗心,初始上线交互阶段发送的数据随机生成,并且还引入了加解密算法对关键信息加
浙ICP备2021020529号-1 | 浙B2-20240490 
