2017年,物联网僵尸 C&C 服务器的数量翻了一番
翻译:360代码卫士团队
Spamhaus 公司发布报告称,2017年,管理物联网僵尸网络的命令和控制 (C&C) 服务器的数量比去年翻了一番还多,从2016年的393台增长至2017年的943台。
Spamhaus Project 是一家非营利的国际组织机构,专门追踪垃圾信息和相关网络威胁活动如钓鱼、恶意软件和僵尸网络等,向互联网的主要网络、企业和安全供应商提供实时的可执行和高度准确的威胁情报,并与执法部门合作找到并追踪全球各地的垃圾信息和恶意软件来源。
Spamhaus 公司在2017年总结报告中指出,索引了2017年出现的9500多台僵尸网络 C&C 服务器,比去年增长32%。这个数字(9500+)包括由多种类型设备(并不仅仅是物联网设备)组成的僵尸网络的C&C服务器 IP 地址。该数字还包括对所有网络犯罪活动使用的 C&C 服务器检测,这些服务器用于控制 DDoS 僵尸网络、垃圾信息网络、银行木马、以及用于传播钓鱼和恶意软件感染所收集到的数据的服务器。
在2017年新出现的9500台 C&C 服务器中,多数 (6588个或68%) IP 地址跟从网络托管公司购买并专门用户托管恶意软件操作的个人服务器之间存在关联。索引的其余 IP 地址是托管在被黑服务器上的僵尸网络 C&C 服务器。为实施恶意软件和网络犯罪操作而购买和被入侵服务器之间的比例和2016年的比例一致。
Spamhaus 指出,最常见的 C&C 服务器类型用于托管 Pony 恶意软件。Pony 是一款信息窃取木马,能从受感染设备中窃取密码且还能选择释放其它恶意软件。
由于物联网恶意软件通常基于其它恶意软件,而恶意软件家族相关之间交错相织,因此对不同物联网僵尸网络的检测混合在了一起。从汇总结果来看,2017年,物联网僵尸网络成为仅次于Pony 的最常见 C&C 服务器托管对象。
如下是报告中发布的前20大最常见的僵尸网络 C&C 服务器排名情况:
Zeus 银行木马的 C&C 服务器跌到前20名以外,而它在2014年曾占主导地位。
C&C 服务器对于恶意软件行动的作用跟2016年相比发生变化。Locky 和 TorrentLocker 跌出前20名而 Cerber 排名提升至第7位。
赶上 Java 在去年风头正劲,基于 Java 的 RAT 如 JBifrost (排名第6)和 Adwind (排名第11)跻身前20名。
Spamhaus 在托管在合法托管提供商基础设施上的 C&C 服务器黑名单 (BCL) 中平均增添了600到700个新 IP 地址。
OVH 和亚马逊在 BCL 列表中占比最大。
除了 IP 地址外,Spamhaus还追踪并创建域名黑名单即 Spamhaus DBL,以防犯罪分子将 C&C 服务器隐藏在通用域名而非 IP 地址背后。
Spamhaus 公司表示,犯罪分子通常选择使用域名并租赁 VPS 系统而非使用 IP 地址并入侵服务器。公司专家解释称,原因是犯罪分子能通过专用域名发动 VPS、加载僵尸网络控制器包并在之前的托管提供商关闭僵尸网络控制器服务器后立即和僵尸网络取得联系。不必更改僵尸网络中每台受感染计算机(僵尸)的配置是其主要优势。
从年末的统计数据中也可看出这一趋势。Spamhaus指出,DBL 在2017年记录了僵尸网络 C&C 服务器所使用的5万多个新域名。
从 Spamhaus 公布的数据来看,犯罪分子通常会使用 .com 和 .pw 域名,并且他们通过一家美国域名注册商 Namecheap 注册了超过四分之一的 C&C 僵尸网络服务器。
关联阅读
数千台物联网设备的Telent凭证现身 恐成DDoS攻击大炮
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.bleepingcomputer.com/news/security/the-number-of-iot-botnet-candc-servers-doubled-in-2017/