2020Botnet趋势报告 | 僵尸网络新冠疫情期间“没闲着”，攻击速度更快，手段多元更隐匿

全文共1153字，阅读大约需要4分钟。

Botnet是网络恶意行为的手段而非结果，其存在直接体现着“威胁”本身。通过组建Botnet，黑客得以控制大量的网络资源，获取强大的攻击能力。依托于这种攻击能力，黑客可以使用各种方式获取非法的经济利益。

近年来，从Gafgyt、Mirai到GoBrut、BigViktor、Mozi、Pink，我们观察到Botnet升级改造的变化之巨。其非法控制并改造大量的网络资源，不断提升攻击能力，逐渐增加隐匿手段，从而给有限的网络资源造成了愈发严重的损失。

在过去的2020年，尽管全球遭受了新冠疫情的袭击，但僵尸网络的活动并未受到疫情的影响，更加活跃。

基于此，绿盟科技发布《2020 BOTNET趋势报告》，报告聚焦于Botnet的整体趋势分析，通过 CNCERT 物联网威胁情报平台及绿盟威胁识别系统对Botnet持续监测追踪获取的第一手数据，来描述2020年Botnet的整体发展情况以及特色家族的变迁情况，进而对数据进行解读并提炼观点。

报告主要观点

观点一

IoT 环境仍然是各类漏洞攻击的重灾区，且攻击用到的漏洞年代跨度相对较长；IoT 设备往往运行在长期缺乏人为干预的环境下，由于IoT 厂商众多，技术水平和设备质量参差不齐并且初始密码固定，使得攻击者可以自动化入侵此类设备，构建起数量众多的僵尸网络节点。

 观点二

2020年Botnet与垃圾邮件深度绑定，以新冠肺炎为主题的诱饵邮件散播大量的传统木马；2020 年爆发的新冠疫情影响范围之广，社会影响力之大，绝非同期其他社会事件可比。恶意邮件僵尸网络的控制者没有放过这一绝佳机会，快速构建了各种语言、各种体裁的疫情话题诱饵邮件并大量投放，积极扩大邮件木马的影响范围。

观点三

DDoS僵尸网络的家族活动仍然以Mirai和Gafgyt为代表的传统IoT木马家族为主。

观点四

僵尸网络在横向移动方面的探索愈加深入，在漏洞利用方面逐渐具备了 “当天发现，当天利用” 的能力；伏影实验室在检测僵尸网络威胁与网络攻击事件时发现，Mirai 变种 Fetch 家族使用了最新的攻击链进行攻击，而在发现该攻击事件的前 3 个小时左右，国外论坛才刚刚披露相关利用。这足以说明：僵尸网络运营者的情报转化能力已经远远超出防御方的固有认知。

观点五

僵尸网络在对抗性方面展现出特殊变化，攻击者开始针对一些开源的蜜罐进行分析并采取反制策略。

观点六

在控制协议方面，僵尸网络家族加速向 P2P 控制结构转变。2020年以来，Mozi、BigViktor等使用P2P协议控制僵尸网络节点的僵尸网络异常活跃，逐步侵蚀Mirai、Gafgyt等传统僵尸网络家族的地盘，尽管新兴僵尸网络家族控制节点数量较少，但由于其控制协议的特殊性，导致这类僵尸网络很难被关闭。因此，未来Mozi、BigViktor这类以P2P协议为主的僵尸网络将逐步占据主流地位。

观点七

部分僵尸网络开始改变发展模式，即先聚焦传播入侵，待占领肉鸡而后再完善木马功能。

观点八

僵尸网络运营者已经能够将威胁情报、开源社区情报快速转化为攻击手段，逐步扩大攻击、防御的时间差与信息差，通过快速部署和迭代，持续提升对互联网设备和用户的威胁能力。

观点九

Botnet控制者的行为愈发谨慎，头部运营者控制的僵尸网络不断向高隐匿性发展。

观点十

APT组织攻击平台多样化。

点

点击阅读原文，或在绿盟科技微信公众号后台回复“Botnet报告”即可获取完整版报告

报告合集

No.

01.

云原生安全技术报告

绿盟科技

中国移动云能力中心

No.

02.

2020物联网安全年报

绿盟科技

CNCERT网络安全应急技术国家工程实验室

No.

03.

2020DDoS攻击态势报告

中国电信云堤

绿盟科技

No.

04.

AISecOps智能安全运营技术白皮书

绿盟科技创新中心

绿盟科技威胁情报中心

天枢实验室

No.

05.

数据安全技术研究报告

绿盟科技创新中心

绿盟科技威胁情报中心

天枢实验室

No.

06.

2020互联网安全事件观察报告

绿盟科技威胁情报中心

No.

07.

基于可信数字身份的区块链应用服务白皮书

公安部第一研究所

中国信息通信研究院

北京中盾安信信息科技发展有限公司

绿盟科技等