该页无缩略图
Botnet趋势报告「2025版」
关于绿盟科技
绿盟科技集团股份有限公司(以下简称绿盟科技),成立于2000年4月,总部位于北京。公司于2014年1月29日起在深圳证券交易所创业板上市,证券代码:300369。绿盟科技在国内设有40多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡设立海外子公司,深入开展全球业务,打造全球网络安全行业的中国品牌。
关于伏影实验室
专注于安全威胁监测与对抗技术的研究,涵盖APT高级威胁、Botnet、DDoS对抗、流行服务漏洞利用、黑灰产业链威胁及数字资产等新兴领域。
研究目标是掌握现有网络威胁,识别并追踪新型威胁,精准溯源与反制威胁,降低风险影响,为威胁对抗提供有力决策支持。
采用前沿技术探索与实战对抗相结合的研究模式,协助国家单位破获APT攻击案件数起,全球率先发现8个新型APT攻击组织,处置40多起涉我APT攻击事件,为国家重大网络安保做出突出贡献。
版权声明
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
01
执行摘要
02
僵尸网络发展趋势 3
2.1大国网络空间博弈的重要武器 4
2.2高级威胁攻击的前置 10
03
僵尸网络漏洞利用情况、传播情况 14
3.1传播方式分析 15
3.2感染范围分析 17
04
僵尸网络攻击活动分析 19
4.1攻击活动分析 20
4.2控制地址分析 22
05
僵尸网络的发展与对抗 25
5.1僵尸网络对抗愈加激烈 26
5.2新兴家族层出不穷 32
5.3僵尸网络团伙活跃频繁 38
06
未来展望 僵户网络发展趋势预测 42
执行摘要
2024年,全球遭遇了空前的动荡与挑战,国际政治格局深刻调整,全球经济形势错综复杂,科技创新与社会文化激烈碰撞。在此背景下,网络空间成为大国间“兵家必争之地”,暗潮涌动。作为高级势力重要工具的僵尸网络被赋予了新的使命,有了新的用途。
僵尸网络成为大国网络空间博弈利器。近年来,在俄乌战争及巴以冲突等重大地缘事件中,均监测到僵尸网络发起过 DDoS 攻击活动。僵尸网络经常被用来发起针对对手国家的高强度网络攻击,导致其关键基础设施瘫痪;或是通过僵尸网络操控舆论,进行恶意宣传,以期达到分化敌对国家的目的;此外,攻击者还利用僵尸网络在特定时期发起网络攻击活动来表达政治立场以及参与阵营之争,从而间接影响最终决策。
僵尸网络威胁态势日益严峻。2024年,僵尸网络所控制的C&C数量及发起的攻击活动次数再创新高,其中极大比例的攻击活动针对国内关键基础设施;在众多僵尸网络家族中,Mirai家族最为活跃,Mozi木马的传播量持续保持高位;感染方式上,Linux/loT平台漏洞入侵方式依然占据主导地位,Windows平台各种新的社工手法层出不穷。
僵尸网络成为高级威胁攻击的“跳板”。APT或勒索团伙利用僵尸网络节点收集目标环境的情报信息,进而投递后续攻击组件;或者利用已获取的立足点分发邮件,充当代理,为后续攻击做准备;此外,一些恶意软件集成了勒索、DDoS、窃密等多重功能,通过模块化组件的形式下发,这些工具落入不同的组织便有了不同的用途。
僵尸网络新家族展现出日益增强的对抗性。相较于Windows平台,Linux/loT僵尸网络文件侧的对抗相对较弱,早期多以变形的UPX壳为主,但近年来攻击者提高了文件侧隐匿性的重视程度,逐渐引l入shc、KiteshieldPacker等壳技术来降低杀毒软件的检测率;流量层面,对抗依然激烈,攻击者利用DGA、DOH、OpenNIC、币安智能合约托管C&C 等技术手段来减少被检测的概率,或是设计复杂的通信逻辑以避免被安全研究人员追踪。此外,本年度攻击者对ssh协议的关注度显著提升,他们尝试各种ssh利用技术,以求通过更高效的方式分发恶意软件或窃取数据。
僵尸网络新团伙相继加入借助社交平台进行宣传的行列。xorbot与catddos等僵尸网络家族的控制者,在其演进历程中,逐渐学习了老牌僵尸网络团伙的成熟策略,转而利用社交平台作为宣传阵地,并通过诸如 Telegram 等隐私性较强的社交渠道来统一租赁或售卖他们所控制的资源。这一行为特征极大程度上印证了我们先前的预测。这些团伙在发展的早期阶段通过社交媒体进行“带货”,以提高知名度,吸引投资或直接获取收益,进而为后续的发展做铺垫。
僵尸网络发展趋势
2.1大国网络空间博弈的重要武器
近年来,僵尸网络已演变为国家间网络空间对抗的重要武器。国家级背景的网络攻击团伙通过控制僵尸网络对目标国的关键基础设施实施高强度的DDoS攻击,造成其关键基础设施的瘫痪;或是利用僵尸网络散布谣言,试图对敌对国家的内部舆论施加影响,以达成政治目的;此外,攻击者还将僵尸网络的日常化运营作为数字化时代的关键战略资源,在必要时刻利用这些僵尸网络对特定领域进行有针对性的打压。
2024年,我国首款3A游戏《黑神话:悟空》在上线初期遭遇大规模DDoS攻击事件。其后,我国首个高性能开源AI大模型在发布当天也遭到了持续的DDoS攻击。此外,美国大选期间、法国逮捕Telegram 创始人等重大事件中,僵尸网络多次针对关键基础设施发起DDoS攻击,以表达其立场。乌克兰广播电视系统也被僵尸网络操控,节目内容遭到篡改,引发严重的社会恐慌。
这些案例警示我们应持续监测僵尸网络的感染、控制和攻击活动,并采取措施治理大规模、分布式的僵尸网络节点,以有效斩断其危害链条。
2.1.1表达政治倾向,参与阵营之争
僵尸网络亦被民众用以表达政治立场或在特定时期参与阵营之争,相较于需要在现实世界中通过组织策划游行的方式表达不满,DDoS攻击不受地域限制,可以快速并很容易地将相关目标致瘫来表达自己的不满及诉求。
2024年11月6日(美东时间11月5日),美国举行了第47届总统及议会席位选举。鉴于党派对立、价值观分歧等多重政治因素,全球各地的选举活动历来是网络黑客攻击的焦点。本次美国大选同样未能幸免,不仅遭遇了网络攻击,而且攻击的强度和频率均达到了空前的水平。攻击者借助Mirai等僵尸网络家族发起攻击,使用的攻击基础设施主要集中在北美和欧洲。
2024年8月24日凌晨,Telegram创始人Pavel Durov(帕维尔·杜洛夫)在巴黎布尔歇机场遭到逮捕,这一突发事件迅速引起了国际社会的广泛关注。逮捕事件发生后的24小时内,针对法国的 DDoS 攻击强度急剧上升,攻击规模达到了空前的水平。黑客团体认为 Telegram 创始人被捕侵犯了他们的言论自由的权利,这激起了他们的强烈不满。包括 UserSeC、Cyber Dragon、ReconSploit、Evilweb、Rootspolit、CGPlnet和 RipperSec在内的 38 个黑客组织,联合发起了一系列DDoS攻击,目标直指法国的多个网站。这些攻击导致了大量公共平台网站的服务中断。
DDoS攻击逐渐演变为政治表达手段,其影响是多方面的。首先,它可能对国际关系产生影响,加剧国家间的紧张关系。其次,它可能引发对网络安全和数字主权的讨论。最后,它也可能引起公众对网络空间作为政治表达平台的关注和反思。
2.1.2操控舆论,恶意宣传
僵尸网络承担起操控舆论,恶意宣传的政治任务。别有用心者利用僵尸网络劫持并篡改网页及控制大屏播放设备来散布谣言,引发社会恐慌,进而实现其政治目的。
2024年2月中旬,绿盟科技伏影实验室监测到一个具有显著政治倾向的僵尸网络团伙。该团伙一方面通过构建网页的方式传播“颠倒黑白”的政治言论,蓄意低毁我国形象。另一方面,该团伙还利用 Mirai僵尸网络家族控制国内资源,对美国发起攻击活动。其目的在于制造对我方不利的舆论。
受害者分布
近年来,具备流量劫持能力的僵尸网络家族逐渐兴起。2024年初,安全社区揭露了一个名为“Bigpanzi”的新型僵尸网络家族。绿盟科技伏影实验室对该家族进行了深入的追踪与分析,研究结果表明,Bigpanzi 家族的威胁不仅限于广为人知的 DDoS 攻击,它还能够利用受其控制的Android 电视或机顶盒传播任意图像和声音信息。Bigpanzi家族所具备的这种攻击能力使其具备的危险性进一步提升,对社会的稳定构成了严重威胁。此类攻击在现实世界中已有许多实际案例,例如在2024年上半年,攻击者篡改了乌克兰自由频道的节目内容,播放了俄罗斯艺术家的歌曲和宣传短片,以此进行舆论引导和造势。
2.1.3紧跟时事热点,精准打击
在众多引人瞩目的时事热点事件背后,僵尸网络的活动痕迹频繁被发现。由于僵尸网络发起攻击具备较高隐蔽性、较强破坏力以及具备高度的针对性,其已成为高级势力不可或缺的工具。利用僵尸网络在关键时刻发起攻击,打压对方,已成为攻击者惯用的手段。
2024年8月末,正值国内一款风靡全球的游戏《黑神话:悟空》发布并迅速走红之际,其发行平台Steam遭遇了全球范围内的服务器瘫痪事件。众多玩家推测,服务器崩溃可能是由于《黑神话:悟空》的在线玩家数量过多。然而,完美世界官方随后发表声明称“Steam正遭受DDoS攻击”。绿盟科技伏影实验室全球威胁狩猎系统监测数据也证实了这一点,包括CatDDoS在内的多个僵尸网络家族参与了对《黑神话:悟空》的有组织、有计划的DDoS攻击活动。作为中国首款国产3A级单机游戏,《黑神话:悟空》不仅在全球范围内赢得了大量粉丝,也为中国游戏产业的突破性发展做出了贡献,同时为全球玩家提供了一个了解中国文化的窗口。攻击者对这款游戏的攻击行为或是对国家层面对外文化输出的一种打压。
2024年7月,法国成为国际社会关注的焦点。在塞纳河畔,备受瞩目的巴黎奥运会隆重开幕,这一盛事吸引了国际社会的广泛关注。然而,在荣耀的光环之下,巴黎也长期遭受DDoS攻击的威胁。绿盟科技伏影实验室的全球威胁狩猎系统监测数据显示,自奥运会开幕的那一刻起,法国便陷入了一场持续的DDoS攻击风暴。
2024年6月 23日,“HackNeT”“HapoμHag CyberApMMg”等亲俄黑客团体攻击法国巴黎大皇宫、拉罗谢尔电影节等相关网站,他们宣称此次攻击活动为奥运前“演练”。8月3日,白俄罗斯选手在蹦床项目夺冠后出现了无法悬挂本国国旗的事件,黑客团体再次发起了 DDoS 攻击,巧妙地利用 NTP、DNS、netAssistant 等攻击手段进行反射放大攻击。文化艺术、电信、教育行业成为主要的攻击目标。
2.1.4乌克兰IT志愿军长期持续发动网络攻击
近年来,现实世界的战争与网络战争的相互配合的案例屡见不鲜。僵尸网络逐渐演变为“数字化战场”上的关键武器。
乌克兰IT志愿军于2022年2月26日成立,该组织由乌克兰副总理兼数字化转型部长米哈伊尔·费奥多罗夫领导,其核心任务是针对俄罗斯和白俄罗斯开展网络情报活动。为了增强其影响力和提高行动效率,乌克兰IT志愿军通过其官方网站进行宣传,该网站提供了适用于Windows、Linux以及Docker等多个版本的DDoS攻击工具,并附有详尽的安装和使用指南,确保所有参与人员都能顺利加入网络攻击行动。
乌克兰IT志愿军还创建了一个名为“iIT ARMY of Ukraine Chat”的Telegram 群组,用于提供技术指导和交流。通过这一社交平台,网络专家们能够分享经验、解决技术难题,以及策划和执行网络攻击。2024年,由于 Telegram 创始人 Pavel Durov 在法国机场被拘留,乌克兰 IT志愿军出于安全性考虑将统战中心转移到 activeness.social(https://activeness.social)。
乌克兰IT志愿军通过Telegram 频道持续发布战果。2024年6月,他们对敌方银行系统发起高强度的DDoS攻击,导致其银行业务中断。并通过Telegram发布消息称:“我们昨日所承诺的对敌方银行系统的破坏并非空言。今日,更多的银行及其卡支付系统“Mir’ 已经中断服务。VTB、Sberbank、Tinkoff、Alfa-Bank、Beeline、MTS、Rostelecom、Gazprombank、Megafon、SBP、NSPK、EIRC 以及其他众多小型服务目前均无法正常运作。”
乌克兰IT志愿军发起的全民参与式网络攻击活动为获取僵尸网络控制节点(俗称“肉鸡”)开辟了新的思路。此外,这类威胁长期且持续,难以治理,这值得引起我们的警惕。
2.2高级威胁攻击的前置
僵尸网络与高级威胁的结合日益紧密。APT或勒索组织对其控制资源的利用效率不断提升,他们充分挖掘僵尸网络作为“哨兵”的价值,尽可能多地建立立足点,通过复用僵尸网络的现有资源来进行后续攻击活动,或是将僵尸网络木马利用到APT活动的后期渗透阶段。在整个APT或勒索活动周期中,僵尸网络扮演着不可或缺的角色。僵尸网络在网络安全威胁中扮演着至关重要的角色,其用途多样且威胁巨大。网络安全治理应全面考虑各类威胁之间的复杂关系,采取有效措施应对僵尸网络带来的安全挑战。
2.2.1 情报收集
僵尸网络常被利用于情报搜集活动。攻击者通过僵尸网络建立网络内部的立足点,并将搜集到的情报数据传输至控制端。随后,攻击者依据这些数据对网络环境进行深入地分析与评估,以支撑其后续的攻击策略。
Linux/loT平台,极大部分僵尸网络家族都具备信息收集能力,比如 Mirai,Gafgyt 等家族的多个变种会在其上线阶段搜集受害者主机的相关信息,这些信息包括但不限于用户名、主机名、IP地址、操作系统类型、中央处理器(CPU)及随机存取存储器(RAM)的使用率,以及CPU核心数量等。而xorddos和Perlbot等僵尸网络则配备了特定指令集来进行系统数据的搜集。
Windows平台同样存在众多具备信息搜集功能的僵尸网络家族。以近年来活动极为频繁的Pikabot家族为例,Pikabot在初始运行阶段会搜集包括通用唯一识别码(UUID)、操作系统版本、用户名称、计算机名称、中央处理器(CPU)信息、图形处理单元(GPU)信息以及安全软件信息等在内的受害者主机信息,并以JSON格式进行传输至控制端。此外,Kraken家族不仅搜集主机信息,还会实施加密货币钱包的窃取行为。
2.2.2 分发钓鱼邮件
利用僵尸网络分发钓鱼邮件是攻击者惯用手段。APT组织常将钓鱼邮件作为整个攻击活动的初始访问组件,通过精心设计的诱饵文档来吸引目标群体的注意,诱使受害者启动攻击流程。在此过程中,僵尸网络利用其已建立的立足点进行邮件分发,从而提升攻击效率。
具备邮件分发功能的僵尸网络不在少数,Phorpiex僵尸网络通过盗取密码转储文件,并利用这些信息发送电子邮件。木马程序首先尝试连接YahooSMTP服务器,然后启动数以万计的线程,从一个数据库中发送大量垃圾邮件。Necurs僵尸网络家族则推出了一款.NET邮件模块,该模块能够发送电子邮件,并从 Internet Explorer、Chrome 和Firefox浏览器中窃取用户凭证。攻击者还能利用关键字匹配技术,筛选出他们感兴趣的电子邮件地址。
2.2.3投递武器
僵尸网络常被用作分发其他攻击工具的重要媒介,攻击者利用僵尸网络已建立的立足点分发攻击组件,以开展后续的恶意活动。恶意软件之间相互作为传播渠道的情况相当普遍,Windows僵尸网络家族通常扮演服务提供者的角色。例如,Emotet 曾被发现用于传播 Nitol、IcedID、QakBot、AzoRult、Zeus Panda、UmbreCrypt 和Trickbot等多种恶意软件家族;尽管Linux/loT平台僵尸网络之间相互作为渠道的现象并不显著,但它们通常具备自我更新、下载和执行命令等功能,这为它们提供了分发其他攻击工具的基础能力。
2.2.4充当代理
僵尸网络亦可被用作代理服务器,攻击者通过这些代理服务器更好地隐匿真实身份,绕过地域限制及防火墙规则,扩大攻击范围,以及提供更快速的数据传输,进而更隐秘地进行网络钓鱼、身份盗窃、传播恶意软件等后续活动。例如,Pink 僵尸网络便提供了 Socks5代理服务,它通过接收来自控制端的指令,根据这些指令生成随机的用户名和密码。为了实现Socks5代理功能,Pink僵尸网络采用了libev库,并对shadowsocks-libev 的代码进行了简化,从而实现了Socks5代理的核心功能。
2.2.5开源Rat备受APT团伙青睐
开源RAT因功能全面,效果好,成为APT或勒索团伙惯用攻击组件,攻击者经常使用开源RAT完成信息搜集和远程控制的目标。研究表明,集窃密、勒索和DDoS等多重功能于一身的恶意软件正在迅速增长。开源木马DcRAT的1.0.0版本就是一个例证,它集成了勒索、DDoS和远程控制等多种功能。
XWorm软件的2.1版本同样集成了分布式拒绝服务攻击(DDoS)、勒索软件功能以及远程控制等功能。LimeRAT在2018年8月22日发布的v0.1.8.0版本中新增了DDoS攻击功能,并且已经集成了勒索软件和远程控制功能。
传统认知中,已经习惯于依据威胁的危害性将其划分为僵尸网络、APT或勒索软件。然而,网络安全是一个相互关联的整体,牵一发而动全身。不同类型的网络威胁之间存在着复杂关系。一方面,一次完整的网络入侵事件往往涉及多种威胁的协同作用,僵尸网络不仅可以为APT攻击或勒索软件活动收集情报,还能作为恶意软件的传播渠道;另一方面,一些恶意软件集成了勒索、挖矿、远程控制和分布式拒绝服务(DDoS)等多重功能。这类木马通常采用插件化管理,客户端以加载器的形式存在,这种设计使得客户端体积较小,不会影响其传播效率。当这类多功能武器落入APT团伙手中时,他们可以部署窃密组件;而当勒索组织使用这些恶意软件时,他们则部署勒索组件。僵尸网络团伙使用这类工具时,它便成了DDoS工具,其用途取决于使用者。
僵尸网络
漏洞利用情况
传播情况
2024年,Linux/loT平台木马依旧通过漏洞利用和弱口令进行传播,而Windows平台则主要依赖钓鱼邮件和社会工程学手段入侵。
3.1传播方式分析
Linux/loT僵尸网络仍然使用漏洞和弱口令进行传播。绿盟科技伏影实验室的全球威胁狩猎系统监测数据显示,这些木马所携带的漏洞年代较为久远,CVE-2017-17215和CVE-2014-8361等漏洞的使用频率依然居高不下,这从侧面反映了loT设备安全建设的滞后性。即便攻击者利用的是极为陈旧的漏洞,仍能轻易地突破防御。
此外,攻击者倾向于使用独立的传播模块。他们将漏洞利用及扫描模块与木马分离,这能有效保护关键信息不被泄露。例如,新兴的僵尸网络家族Mirai.Nomi就配备了独立的漏洞扫描器,传统型僵尸网络家族XORDDOS则拥有独立的ssh扫描模块,连使用的弱口令都未对外暴露。
钓鱼邮件成为 windows 僵尸网络传播的主要途径。相较于Linux/loT平台,Windows平台的安全性建设通常更为成熟,攻击者试图利用已知的老旧漏洞进行入侵的成功率并不高。然而,由于Windows平台用户基数庞大,用户与设备之间交互频繁,攻击者以此为契机利用社会工程学从人的行为上寻找突破口。攻击者或是通过发送诱饵邮件诱导用户点击,或是制作外挂及盗版软件诱导用户下载,又或者通过微信、QQ等社交平台传播恶意文件。
Windows平台最活跃的网络攻击组织“银狐”便是典型的案例。攻击者通过一系列精心设计的诱饵策略,如伪造邮件、社交应用陷阱以及模拟合法网站的钓鱼站点,散布GhOst变种,旨在渗透用户设备,实现对目标系统的远程操纵与数据非法获取。
银狐的攻击方式大多是在微信或QQ群里面散播破解软件、钓鱼文件,进而释放和运行远控木马,接着控制操作失陷主机上的微信、qq 等,在每一个群发一遍钓鱼文件继续控制其他主机,持续循环。此外,“银狐”还构建了多个钓鱼站点,巧妙地将木马藏匿于各类流行软件的安装包中,诱使用户主动下载并安装。甚至于不惜投入,通过购买搜索引擎广告位,提升钓鱼网站的曝光度与可信度,以此提高用户的点击率与感染风险。
3.2感染范围分析
美国境内存在大量僵尸网络受控端。从受感染设备的地理分布进行分析,美国境内的受感染设备数量居于首位,占比达到 45% 。印度、俄罗斯和巴西依次位列其后,占比分别为18% 1 14% 和 8% 。美国作为僵尸网络的“毒窟”,其境内不仅控制着全球数量最多的僵尸网络C&C基础设施,同时也深受僵尸网络的侵袭,存在着大量受感染设备。
经济发达地区易成为僵尸网络传播重灾区。2024年,绿盟科技的伏影实验室全球威胁狩猎系统累计监测到逾17万个恶意软件下马地址,这些地址遍布80多个国家。恶意软件传播的地理位置分布显示,印度存在较多的站点被攻陷并用于传播恶意软件,下马地址中 19% 位于印度。
在国内,下马地址数量排名前五的省份依次是:河南省、山西省、湖南省、山东省和辽宁省。
地域性差异主要受当地经济发展状况、互联网发展成熟度以及法制监管力度的多重因素影响。在互联网发展更为成熟的地区,网络接入设备数量较多,相应的安全风险也较大,导致受感染设备数量增多;而在法制监管更为严格的地区,治理效果更佳,受感染设备数量则相对较少;经济发展较好的省则有更多资金投入到安全防护上,以此有效提高防治效果。
僵尸网络攻击活动分析
2024年,绿盟科技伏影实验室全球威胁狩猎系统监测数据显示,Mirai僵户网络控制的C&C服务器数量最多,且其攻击活动最为频繁;Mozi僵尸网络恶意样本传播量仍居高不下,尽管其控制者已被执法机构逮捕,但p2p 网络结构的稳定性导致其仍在传播。僵尸网络倾向于使用UDPFLOOD发起攻击,众多自命名的攻击手段本质上属于UDP类型的泛洪攻击。国内是遭受僵尸网络攻击最严重的国家,而僵尸网络的控制端大多位于境外,其中美国最多。僵尸网络攻击日益猖獗,因此需要高度重视治理,优先治理影响范围大、攻击频繁且对我方有严重危害的僵尸网络。
4.1攻击活动分析
Mirai攻击活动最为频繁。2024年度,绿盟科技伏影实验室全球威胁狩猎系统累计监测到逾百万条攻击指令。在攻击指令家族分布方面,Mirai及其变种家族占据主导地位,下发指令数量占总监测数的 68% ,XORDDOS家族位居次席,占比 23% ,hailbot 家族和 Gafgyt 家族分别占 5% 和 2% 。
分析月度数据分布,9月份攻击指令数量达到峰值,当月累计下发超过五十万条攻击指令。此数量激增主要由于传统恶意软件家族XORDDOS与新兴 Mirai变种gorillabot 在该月的异常活跃所致。
中国是遭受DDoS攻击最多的国家。绿盟科技伏影实验室的全球威胁狩猎系统监测数据显示,全球近120个国家遭受了由僵尸网络发起的分布式拒绝服务(DDoS)攻击。在这些国家中,中国遭受的攻击最为严重,占所有攻击活动的 34% ,其次是美国 (17%) 、加拿大( \left(10%\right) 和德国 (4%) )。国内遭受攻击最为严重的前五个省依次为:山东省、香港特别行政区、湖北省、浙江省和江苏省。国内遭受网络攻击的情况日益严峻,加强对关键基础设施的防护迫在眉睫。
僵尸网络倾向于使用UDPFLOOD发起攻击。从攻击指令类型的角度分析,SYNFLOOD和UDPFLOOD攻击最为普遍。大量僵尸网络木马新家族DDoS功能的实现借鉴了既有的攻击代码,众多自命名的攻击手段本质上属于UDP类型的泛洪攻击。考虑到“肉鸡”资源的有限性,UDP协议能够产生相对较高的攻击流量,因此,此类攻击备受僵尸网络青睐。
4.2控制地址分析
Mozi传播量最多,Mirai控制C&C数量最多。依据绿盟科技伏影实验室的全球威胁狩猎系统监测数据,从僵尸网络月度新增C&C数量分布来看,2024年5月份新增的C&C总数量最少,而年底则达到最多。从家族层面分析,Mozi僵尸网络家族的恶意样本传播量一直居高不下,尽管其控制者已被执法机构逮捕,并未实际发起过任何攻击活动,但p2p 网络结构的稳定性导致其仍在传播。Mirai僵尸网络家族持续构成最高威胁,其控制的C&C服务器数量在所有僵尸网络中居于首位。此外,源自Mirai源码的新型僵尸网络家族hailbot和Miori家族的C&C服务器数量也呈现出显著的增长趋势。这也从侧面反映了越来越多的“脚本小子”怀揣着“一夜暴富”的梦想加入僵尸网络开发与运营行列,通过低门槛、低成本的开源代码来构建僵尸网络。
僵尸网络控制C&C主要集中在美国。2024年,绿盟科技的伏影实验室全球威胁狩猎系统捕获了超过5000个活跃C&C。从地理分布分析,美国控制的C&C服务器数量最多,占总数的15% ,紧随其后的是荷兰( .13%) )、印度( .10% )和俄罗斯( .10% )。美国境内存在大量的僵尸网络团伙,且疏于监管,这导致其控制的C&C数量逐年攀升,对全球网络空间安全造成极大威胁。
上述5000余C&C(命令与控制)分布于400多家运营商/云服务商,其中BharatSanchar Nigam Ltd、LeaseWeb Netherlands B.V 和 Hetzner Online GmbH 的数量最多。这些海外云服务提供商允许用户匿名注册,这为攻击者隐藏身份并规避法律法规风险提供了便利。以下是前10名的分布情况:
僵尸网络的发展与对抗
2024年,僵尸网络新家族层出不穷。Mirai类老牌僵尸网络不断衍生出新的变种家族;Tbot等家族相继采用高效的“分组管理”策略;gorillabot单在9月份单月就下发了超过30万条攻击指令。僵尸团伙活动日益频繁,团伙化趋势愈加明显,xorbot和catddos等僵尸网络家族的控制者在演进过程中,逐渐利用社交平台作为宣传阵地。
僵尸网络攻防对抗日益激烈,流量侧引I入OpenNIC、DoH和DGA等技术手段,试图绕过常规流量监测设备;文件侧引入新的壳技术,不断尝试新的对抗杀软的方式。这对治理提出了新的挑战,及时发现僵尸网络引入的新对抗技术并采取相应的应对策略显得尤为重要。
5.1僵户网络对抗愈加激烈
5.1.1壳保护升级-Botnet的新“马甲”
近年来,Linux/loT平台恶意软件呈现快速发展趋势。然而,与Windows平台相比,Linux/loT木马在文件侧的对抗策略尚显不成熟,大多数Linux/loT木马采用的文件加壳保护技术主要依赖于经过变形处理的UPX 壳。随着网络安全攻防技术的持续演进,Linux/loT 僵尸网络逐渐加大文件侧对抗力度,开始引入 shc 以及 Kiteshield Packer 等保护壳技术。可以预见,Linux平台恶意软件将发展出更多样化的对抗手段和壳技术。
2024年,绿盟科技伏影实验室监测到一批利用shc保护壳的木马文件大规模传播,经过详细分析,该木马隶属于已知的僵尸网络家族Perlbot的新变种。shc工具能够将shell脚本编译成二进制文件,而目前的病毒检测引擎在识别shc加密脚本方面存在明显的不足。长期以来,shc打包技术在挖矿程序和后门程序中广泛使用,但在僵尸网络中却鲜有出现。由于其脚本性质,攻击者可以以极低成本对原始文件进行修改,且打包后的文件体积不会增加太多,Perlbot的原始脚本文件大小约为60KB,而使用shc打包后的大小为 80KB,这保证了木马的传播效率不受影响。shc的易用性和高隐蔽性会导致此类僵尸网络日益增多。
同年,一种名为KiteshieldPacker的加壳工具开始流行。目前,杀毒引擎对这种壳的检测率非常低。KiteshieldPacker通过多层加密技术来封装ELF二进制文件,并运用了反调试、字符串混淆、XOR加密、RC4加密等多种防御手段,这大大提高了分析其打包的二进制文件的难度。监测数据显示,已有多个组织开始利用Kiteshield实现恶意软件的免杀功能,APT组织 winnti使用的攻击组件中的userland rootkit,暗蚊组织使用的Dropper木马,以及传统的僵尸网络家族Gafgyt,都开始采用这种壳技术。
5.1.2利用DGA逃避检测
相较于文件侧,Linux/loT平台木马在流量侧的对抗更为激烈。Mirai家族虽然存在众多变种,但极少出现使用DGA(域名生成算法)变种。然而在2024年,安全社区披露了一个通过引l入了DGA算法来规避检测的名为Mirai_nomi的变种家族。
采用DGA算法的木马能够生成大量备选域名,并进行查询。攻击者和恶意软件运行相同的DGA算法,生成相同的备选域名列表。在需要发动攻击时,攻击者会选择其中少量域名进行注册,从而建立通信。此外,攻击者还可以应用速变IP技术,快速变换IP地址,使得域名和IP地址都能迅速变化。
Mirai_nomi使用了基于时间的DGA,并加入了验证机制。该木马没有采用常见的通过转换系统时间的方法来获取时间,而是通过网络时间协议(NTP)来获取时间。样本中硬编码了多个公共的NTPIP地址,获取NTP返回字段中的参考时间戳后,会将时间戳与特定数字进行整除运算。最终生成的每个域名由两部分组成。
5.1.3独特的反追踪思路
2024年,由绿盟科技伏影实验室独家对外公开披露的新兴僵尸网络家族xorbot不断更新其版本并引入新功能,已经发生了显著的变化,其背后的操控者也开始积极地展开营利性运营活动,通过Telegram等强隐匿性社交平台公开宣传提供DDoS攻击租赁服务。
Xorbot木马具备显著的反追踪特性,其上线过程采取了被动方式。即在与控制端建立连接后,它不会立即发送上线包,而是选择等待,直到接收到控制端发送的数据。这些数据是随机生成的,每次连接时的内容都独一无二。随后,客户端会将随机字符串以及受害主机的系统架构等信息一并回传给服务器端。Xorbot的这种设计机制加强了木马的隐匿性,同时也在一定程度上对凭借流量特征中固定的字符特征来识别并捕获木马新增C&C的方案造成一定困扰。并且在C&C停止下发数据时,通过沙箱环境无法获取完整通信记录。这导致Xorbot木马在一定程度上具备了反追踪的特性。
5.1.4通过DOH增强隐匿性
2024年,安全社区披露了一个名为Zergeca 的新型僵尸网络家族,绿盟科技伏影实验室对其展开跟踪分析。该家族支持多种域名系统(DNS)解析机制,且采用了DNS overHTTPS(DOH)技术。这显著提升了其通信的隐蔽性。DNS over HTTPS(DOH)是一种将DNS查询加密并利用HTTPS协议进行传输的技术。采用DNS oVerHTTPS(DOH)通信技术具有显著的优势。首先,DOH利用HTTPS协议对DNS查询流量进行加密,有效防范了传统DNS查询中可能出现的信息泄露、篡改及劫持等安全风险;其次,DOH有效解决了DNS劫持问题,由于DNS查询的加密特性,第三方难以轻易获取用户的浏览历史等隐私数据;此外,DOH能够规避特定网络过滤和劫持,提供更为稳定和可靠的DNS查询服务;DOH还可借助内容分发网络(CDN)等技术,提升DNS解析的效率,从而优化网络连接速度。
5.1.5利用币安智能合约托管C&C
2024 年,安全社区披露了一个名为 Smargaft 的新型僵尸网络家族。该僵尸网络家族通过滥用币安智能合约托管C&C,木马程序利用JSON格式的数据与控制端进行交互,使用了一种无需支付费用的方式(eth_call),通过特定的合约地址调用合约方法来获取最新的C&C。并在通过智能合约获取C&C指令时使用了“latest”字段。由于“latest”总是引用区块中的最新状态,这种做法能够有效地规避基于loC(指标与签名)检测的流量分析设备。
币安智能链是由币安(Binance)开发和维护的一个区块链平台,功能与以太坊(Ethereum)有所类似却独具特色。智能合约,作为这一平台的核心组件,实质上是部署于区块链之上的自动化执行协议或程序脚本。它们通过预设的代码逻辑,能够在满足特定条件时自动履行操作或合同条款,无需任何第三方介入,从而确保了交易与互动的信赖度。能够保证所有操作均被永久记录,无法被悄无声息地修改或抹去。这些特性可以保证木马能够稳定并隐秘地长期获取新的C&C。
5.1.6挖掘ssh新用法
2024年,僵尸网络团伙、黑灰产以及众多脚本小子都再度对ssh表现出了浓厚的兴趣,试图探索其新的应用模式,并尝试利用 ssh 建立隧道,以投递恶意样本或窃取敏感信息。微软已经为Windows系统增加了对ssh的支持,ssh用户群体极为庞大,使得其潜在的暴露面进一步增加。基于ssh服务,用户可以实现端口转发、跳板登录以及建立socks代理等多种功能。例如,ssh的-J参数允许用户指定跳板机,这相当于内置了端口转发功能。-」参数还支持指定多个跳板机。
ssh 木马种类繁多,最常见的有通过将 ssh 公钥写入到目标机器的 authorized_keys 文件中实现免密码登录,或者通过 strace 捕获 ssh 登录密码反馈至服务端;更有部分攻击者通过魔改开源ssh工具的登录验证流程将公钥硬编码于登录认证代码的方式预留后门;此外,通过 ssh投递恶意样本的攻击案例也频繁出现,除了常见的 ssh扫描,攻击者还利用 ssh结合一些选项和本地命令,连接到远程服务器传输并执行恶意文件。
5.1.7利用QEMU作为隧道工具
2024年初,安全社区披露了一起攻击者利用QEMU作为隧道工具进行内网穿透的攻击活动。QEMU是一种开源的计算机仿真器和虚拟器,可以在不同的架构上运行任意操作系统或程序,它还支持虚拟机之间的连接(通过-netdev等选项)。本次攻击活动中,攻击者在C&C服务器上启动一个QEMU作为服务端监听特定端口,接着在受感染设备上再启动一个QEMU 作为客户端,并通过特定的命令连接到服务端所监听的端口上。启动后,QEMU 会在服务端和受感染设备之间建立一条隧道,攻击者便可以在此基础上对受感染设备所在网络内的其它子网发起攻击,进而有效绕过防火墙等设备的拦截。此外,由于攻击者在运行QEMU时既不使用磁盘映像也不使用LiveCD,它对受感染系统的性能几乎没有影响。
攻击者在攻击活动中通过对合法工具的巧妙应用达成目标,这在有效逃避检测的同时将恶意软件的开发成本降至最低。此外,网络扫描、窃取数据、远程文件执行等功能都可以借助合法软件来完成,这值得引起我们的警惕。
5.1.8利用反病毒厂商内核驱动终止杀软
2024年5月份,安全社区监测到名为“匿铲”的挖矿木马活动频繁,绿盟科技伏影实验室随即对相关事件进行了跟踪分析。本次攻击活动所使用的一项对抗技术引起了我们的注意,攻击者滥用反病毒软件的旧版本内核驱动程序中的功能来结束反病毒软件和EDR。整套攻击流程中攻击者先通过一段PowerShell代码来下载并安装反病毒软件的旧版本内核驱动程序;接着,攻击者使用另一个PowerShell脚本解密并内存加载控制器,控制器用来控制内核驱动程序。尽管那些被滥用的旧版内核驱动程序已经得到了更新,但它们目前仍有可能被非法利用,从而有效地绕过大多数反病毒软件的防护。
5.1.9引I入OpenNIC域名
近年来,非传统类DNS 解析方式OpenNIC正在逐渐兴起,RapperBot、CatDDoS、hailbot 等多个僵尸网络家族相继引I入这一技术。OpenNIC 是独立于ICANN 的另一套域名体系,其域名无法通过常见的DNS(如8.8.8.8、114.114.114.114)解析,必须使用指定的NameServer。僵尸网络木马通过引入OpenNIC域名进而减小了被监测和接管的可能性,与此同时,OpenNIC域名解析上也存在效率或稳定性等问题。OpenNIC域名支持的TLDs 如下:
5.1.10利用STUN协议获取公网地址
RapperBot等僵尸网络家族引I入STUN协议以获取肉鸡公网地址和端口信息。STUN协议是一种轻量级的网络协议,基于UDP,它允许应用程序发现它们与公共互联网之间存在的NAT(网络地址转换)和防火墙等,并确定NAT分配给它们的公网IP地址和端口号。在僵尸网络中,攻击者利用STUN协议这一特性,向STUN服务器发送请求,从而获取被感染的肉鸡设备的公网地址和端口信息。这些信息对于攻击者来说至关重要,因为它们可以利用这些信息进行更精准的攻击。
5.2.新兴家族层出不穷
5.2.1大家庭持续增添新成员
2024年,绿盟科技伏影实验室监测到多个基于Mirai源代码二次魔改而来的新型僵尸网络家族。这些家族或是对Mirai的通信协议进行了修改,或新增了特定功能,亦或构建了独立于Mirai原有指令解析逻辑之外的新控制指令格式。Mirai家族每年都会衍生出大量新变种,其中大多数呈现昙花一现的趋势,然而,亦有部分变种持续活跃,并在不引人注目的情况下逐渐壮大。本小节将介绍绿盟科技伏影实验室于2024年捕获但并未公开对外披露的部分较为活跃且独具特色的Mirai变种家族的发展情况。
5.2.1.1gayfemboy瞄准国内设备
2024年初,绿盟科技伏影实验室全球威胁狩猎系统监测到一个流量特征中带有“gayfemboy”标识的木马开始活跃起来,我们将该木马命名为 gayfemboy,并对其活动重点监测。其后,安全社区也相继披露该家族,至今,gayfemboy 已颇具气候,持续攻占国内设备,国内已确认大批量失陷主机,其中不乏关键基础设施,从地域分布来看,黑龙江和天津地区受害最为严重。
gayfemboy基于Mirai源代码修改而来,使用 20多个漏洞和Telnet弱口令传播样本,注册了No-IP 的动态域名作为 C&C,样本上线时,会发送“gayfemboy”这一特定的字符序列。该僵尸网络具备较强的隐匿性及对抗性,会通过mount命令将自身文件挂载到空目录,使用随机进程名并kill竞争对手。该家族除了具备DDoS攻击能力之外还支持自更新以及命令执行等功能,这使得其具备的威胁性进一步提高,攻击者在控制大量设备后,可以在此基础上展开更为隐蔽更为高级的攻击活动。
5.2.1.2Labot发展势头正盛
2024年10月份,一个传播名为“la.bot.arm7”的恶意文件进入了我们视野,经鉴定,该恶意文件隶属于一个新的僵尸网络家族,我们将其命名为Labot。绿盟科技伏影实验室全球威胁狩猎系统监测数据显示,Labot发展迅速,构建数十个C&C基础设施,不断入侵新设备,并利用这些设备频繁发起攻击。受影响国家包括美国(主要受袭)、意大利、俄罗斯及英国等。
Labot基于Mirai源代码修改而来,与Mirai僵尸网络相比,Labot僵尸网络在上线及心跳流量方面展现出明显的差异,其上线流量数据包中包含有“fuck”这一特定字符串,server端回复心跳数据中包含了固定字符串“PTVW”。Labot作为一类新兴僵尸网络家族,虽未采用过于复杂的技术,其表象看似平庸无奇,然而,正是这类看似不起眼的木马家族,构成了loT领域新兴威胁的主要部分。攻击者凭借开源代码迅速构建起其控制网络的初步框架,并在此基础上不断迭代升级,控制更多设备,引入新的攻击模块,静待时机。对于每一种新兴威胁,我们都应给予足够的重视,防患于未然。
5.2.1.3Moobot_webserv独特的指令解析模块
2024年6月份,绿盟科技伏影实验室监测到Mirai变种家族Moobot增添了新的功能,整体结构发生了较大变化,我们将其命名为Moobot_webserv 并持续监测。Moobot 家族存在 Moobot_socks5,Moobot_tor,Moobot_go,Moobot_xor 等诸多变种,Moobot_webserv主要的特色体现在木马开发者尝试在常规Mirai指令解析模块以外添加新功能,其主体功能以 DDoS 为主,内置了9种DDoS攻击方法,并独立于原有解析逻辑实现了自更新,文件下载等功能。此外,Moobot_webserv的C&C域名以“ru”结尾,疑似与俄罗斯存在关联。
Moobot_webserv上线完成后,Bot端在接收到Server端的回复时,并不急于进入原有的指令解析模块。相反,它引入了一层新的判断逻辑:如果检测到的是常规的 Mirai类攻击指令,则会将其引导至相应的处理模块进行解析;而对于其他情况,Bot端可以根据不同的指令,在不触发Mirai常规命令处理逻辑的前提下,执行其他功能,例如下载文件和自更新等。这种设计极大地简化了新功能的添加过程。攻击者在后续操作中,可以直接在判断逻辑中加入命令执行、信息窃取以及代理等操作。
| 条件 | 执行操作 |
| Buff[0] =0x99 | 退出 |
| Buff[0]=0x33Buff[1]=0x66 Buff[2]=0x99 | 发送包含“webserv”字符串的数据到服务端 |
| Buff[0]=0x66Buff[1]=Buff[0] Buff[2]=0x33 | 充当httpd服务器,实现自更新 |
| Other | 进入“attack_parse()”函数,等待接收指令并解析攻击指令,并 发起DDoS攻击 |
5.2.2DDoS新王gorillabot
2024年9月份,绿盟科技伏影实验室全球威胁狩猎系统监测到一个自称是gorilla botnet的新型僵尸网络家族进入异常活跃状态,该家族在9月4日至9月27日期间下发30余万条攻击指令,攻击密度之高令人震惊。gorilabot 本轮活跃期内的攻击目标涵盖100多个国家,中美两国为重灾区,其攻击目标涉及大学、政府网站、运营商、银行、游戏、博彩等多个单位或行业。
gorillabot 支持 arm,mips,x86_64,x86 等多种CPU 架构,该家族修改自 Mirai 源代码,新增了多种DDoS攻击方式,并通过KekSec团伙惯用加密算法来隐藏关键信息,同时通过多种技术手段来维持对loT,云主机等设备的长期占有,还具备反蜜罐能力,是一种具备较高对抗意识的新兴僵尸网络家族。
5.2.3超大分组型僵户网络家族TBOT
2024年,安全社区揭露了一个名为TBOT的Mirai变种家族,我们对其进行了深入的跟踪分析。研究表明,该僵尸网络采用了分组模式,构成了一个规模庞大的僵尸网络,拥有超过100个分组。当TBOT与C&C建立连接时,它会携带一组分组信息,这些信息旨在标识并组织受感染的设备,以便攻击者能够更高效地管理和控制庞大的僵尸网络。这些分组信息包括一些关键的标识符(如 selfrep,Emerge,xpon 等),以及设备的操作系统类型或其他识别信息。
该僵尸网络保留了大量原始mirai代码,整体运行逻辑和网络协议与mirai保持一致,主要功能是执行DDoS攻击,攻击目标遍布全球,没有明显针对性。它使用OpenNIC自定义域名,通过RC4等算法对关键信息加密存储,并具备Oday漏洞利用能力,每日活跃的受感染设备数超过3万,受感染设备比较多的地区主要为中国、委内瑞拉、印度、韩国、巴西、日本等地。
5.2.4catddos渐成气候
2024年,catddos攻击活动显著增加。该僵尸网络家族在发展过程中出现了专门的Telegram 群组,这些群组被用来宣传自身或者销售catddos 控制的资源。后期,原作者在这些群组中发布了关于服务关停的通知,然而,在服务关停之后,由于源代码的出售或泄露,catddos陆续出现了新的变种,并衍生出众多分支。尽管这些不同变种可能由不同的团伙运营,但它们在代码结构、通信协议、字符串特征以及解密方法等方面保持了高度的一致性。
监测数据显示,CatDDoS僵尸网络家族所利用的漏洞种类繁多,攻击范围广泛,通过大量已知漏洞传播样本。其攻击目标遍布全球,尤其集中在北美和欧洲的多个国家,包括美国、法国、德国、巴西以及亚洲的中国等。这些攻击主要针对云服务提供商、教育机构、科研组织、信息传输服务、公共管理部门以及建筑行业等多个领域。
5.2.5Zergeca僵户网络独特的通信模式
2024年,安全社区披露了一种新型僵尸网络家族,命名为Zergeca。绿盟科技伏影实验室对其进行了跟踪分析。研究结果表明,Zergeca 是一个以 DDoS 攻击为核心功能的僵尸网络家族,并且具备自升级、持久化、文件传输、反向 shell以及收集设备敏感信息、代理和扫描等能力。这些特性使得Zergeca的威胁性显著提高。
Zergeca 的实现采用了 Go语言,其开发者早期曾运营过 Mirai 变种。该木马支持多种DNS解析方式,并优先采用DNS-oVer-HTTPS(DOH)进行解析。此外,它还利用Smux库来实现 C2 通信协议。Smux(Simple MUltipleXing)是Go语言的一个多路复用库,它依赖于底层链接(如TCP或KCP)来提供可靠性和排序,并实现面向流的复用。
5.2.6银狐持续集成新对抗手法
2024年,银狐无疑是活跃于Windows平台上的最猖獗的僵尸网络之一。绿盟科技的伏影实验室捕获了大量针对我国用户的“银狐”的最新变种。在传播过程中,攻击者持续利用伪装成财务、税务违规稽查通知等主题的钓鱼信息和收藏链接,通过微信群直接传播含有该木马病毒的加密压缩包文件。
2024年以来,银狐不断集成新的对抗方式,表现出极强的对抗性。
| 对抗手法 | 简介 |
| 利用COM组件改写防火墙规则 | 通过COM组件改写防火墙规则,实现断网,并阻止样本上传,随后,样本将“白加黑” 后门文件释放到本地磁盘,并以相同方式删除先前修改的防火墙规则以恢复网络连接。 |
| 利用企业级管理软件 | 银狐为了实现长期控制用户电脑,会利用一些正规的企业管理软件,如IP-Guard、 Ping32和阳途终端安全等,实现在系统中的长期驻留。 |
| rpc+管道创建计划任务 | 通过构造RPC数据包并发送请求至对应的RPC服务,能够绕过多个终端安全软件对 CreatServices、NrdClientCall3等3环函数的Hook,从而规避服务创建监控和限制, 构建出全白的进程链,使进程可信,且与原始进程断链,提升隐匿性,降低查杀阈值。 |
| PoolParty注入 | PoolParty注入是一种全新的注入技术,当前杀毒引擎缺乏对该注入方式的检测能力。 PoolParty的技术核心是巧妙地操纵Windows线程池的工作项(如TP_WORK、TP_ WAIT等),将自定义的shellcode插入到目标进程内,而不会留下明显的痕迹。 |
| ICMLuaUtil绕过uac | COM提升名称(COMElevationMoniker)技术允许运行在用户账户控制下的应用程 序用提升权限的方法来激活COM类,以提升COM接口权限。同时,ICMLuaUtil接 口提供了ShellExec方法来执行命令,创建指定进程。因此,我们可以利用COM提 升名称来对ICMLuaUtil接口提权,之后通过接口调用ShellExec方法来创建指定进程, |
5.3 僵尸网络团伙活跃频繁
5.3.1Hail团伙高歌猛进
2024年,Hail团伙控制的僵尸网络家族hailbot攻击活动异常频繁,其控制的C&C数量累计超过700个,且每月新增的C&C服务器数量仍在持续增长。hailbot在本年度累计下发了超过五万条攻击指令,攻击范围覆盖了70多个国家。其中,巴西( 28% )、美国( 19% 和中国( .16% )遭受的攻击最为严重。
Hail团伙最初将金融和贸易机构作为其主要攻击目标,以木马载荷托管业务为主,托管Lokibot、Formbook、AsyncRAT等Windows平台窃密木马,并自2022年下半年起开始针对loT平台部署僵尸网络,转向DDoS攻击活动。时至今日,该团伙已发展成为loT平台不容忽视的一大威胁源,其C&C 增长速度居于各类Mirai变种之首,攻击活动也极为频繁,这值得引起我们的警惕。
5.3.2KekSec团伙新增运营多个新型僵户网络家族
过去的一年里,安全社区鲜有披露KekSec团伙新的攻击活动,该团伙看似已成历史,但实际上,他们一直都在,且极为活跃。绿盟科技伏影实验室全球威胁狩猎系统监测数据显示,虽然该团伙早期创建的多个僵尸网络均已销声匿迹,但仍有部分家族生存了下来,并不断更新版本,其核心代码也在多个家族中被相互复用。与此同时,该团伙还在不停地构建新的僵尸网络家族。
2024年,绿盟科技伏影实验室依托全球威胁狩猎系统监测到KekSec团伙新增运营了两个僵尸网络家族,依据木马作者在二进制文件中留有的签名信息,我们将这两个新型僵尸网络家族命名为hbot和HAEDBot。
监测数据显示,hbot是KekSec团伙长期运营着的一个新型僵尸网络家族,该家族修改自Gafgyt源码,我们对hbot的命名来源于二进制文件中留有的字符串签名信息“hbotproc starting.”。该木马支持多种 DDoS 攻击方式,直至2024年5月份,依然在持续更迭版本,并利用安卓设备的adb接口大肆传播。
2 sub_8049040();
3 sub_804AC60();
4 sub_804E4A2("hbot proc starting...");
.5 sub_80481c0(a0vk);
.6 sub_804E117(15, (unsigned int)"/bin/busybox", 0, 0, 0);
7 \*(_DWORD \*)\*a2 =0;
8 sub 804F522(\*a2, a0vk);
HAEDBot最早于2024年年初出现,该家族具备较强的隐匿性,构建了基于Tor网络的通信信道,同时内置多组加解密算法隐藏敏感信息。HAEDBot的命令解析模块及整体功能与Gafgyt_tor和EnemyBot等家族较为相近,支持命令执行,扫描爆破,充当下载服务器等功能,具备TCPFLOOD,UDPFLOOD,HTTPFLOOD及DNSFLOOD等十余种类型的 DDoS 攻击方式。
5.3.3机J顶盒上的新威胁--Bigpanzi
2024年,安全研究社区披露了一个名为Bigpanzi的新型僵尸网络团伙。绿盟科技伏影实验室对其进行了深入的追踪分析。研究表明,该组织已经活跃了长达八年,主要通过盗版应用程序和固件更新来感染基于Android系统的电视和流媒体设备。典型的感染途径是用户在智能手机上访问可疑的流媒体网站,不经意间将恶意应用程序下载到他们的Android智能电视上。
Bigpanzi的样本种类繁多,包括PE、DEX、ELF等多种格式。它具备较强的对抗性,采用了UPX变形壳,以及ollvm的控制流平坦化和指令替换技术,并运用了多重反调试技术。其危害不仅限于广为人知的 DDoS 攻击,Bigpanz 还能利用被控制的Android 电视或机顶盒在不受法律法规约束的情况下传播任意图像和声音信息。
| 团伙名称 | Bigpanzi |
| 出现时间 | 2015年开始活跃起来 |
| 受感染设备数量 | 10万量级受感染设备,主要位于巴西 |
| 感染设备类型 | Android操作系统的电视、机顶盒,eCos操作系统的机顶盒等 |
| 传播方式 | 诱使用户安装带有后门的免费的视频APP,影像娱乐平台 |
| 主要业务 | 流量代理,DDoS攻击,互联网提供内容的服务,盗版流量 |
| 核心组件 | pandoraspear(Android系统的后门木马,支持ddos,命令执行等) Pcdn(通过P2P协议将诸多被感染设备组网,形成一个类似P2P的内容分发网络,DDoS攻击) |
| DDoS工具 | |
| 对抗技术 | 通过修改hosts保护自身资产,防止被sinkhole |
| 采用了UPX变形壳技术,以及ollvm的控制流平坦化和指令替换技术,并运用了多重反调试技术 动态链接,依赖第3方的libcurl库,大部分沙箱下无法运行 | |
| 危害 | 不仅有大家熟知的DDoS攻击,它还可以利用被控制的Android电视或机顶盒不受法律法规约 束地传播任何图像、声音信息。 |
未来展望一僵尸网络发展趋势预测
本年度,全球网络安全形势持续恶化,僵尸网络发起的攻击活动愈发猖獗。我们基于对僵尸网络的深入研究长期积累的研究数据对Botnet2025年度的发展趋势做出以下预测:
将出现更多具有国家级背景的僵尸网络。攻击者会将僵尸网络视为“战略储备资源”,在关键时刻利用其隐匿性、定向性和高破坏力对特定目标发起攻击。别有用心者会利用僵尸网络传播不实信息,制造社会恐慌,以实现其政治目的。
APT和勒索团伙将进一步提升对僵尸网络的利用率。攻击者将充分利用僵尸网络来获取情报信息、分发其他恶意组件,并在僵尸网络的掩护下执行高级攻击。同时,集勒索、DDoS、信息窃取等多种功能于一体的组件式恶意软件也将日益增多。
以盈利为目的的传统僵尸网络团伙将模仿现有的“带货”模式迅速扩张。在发展初期,他们将通过Twitter、Telegram等隐秘性较高的社交平台进行宣传、租赁和销售所控制的资源,以积累原始资本或吸引投资,为后续发展打下基础。
僵尸网络木马的隐匿性将得到进一步加强。网络侧对抗将一如既往地激烈,攻击者不断引引入类似DNS-oVer-HTTPS(DOH)、域名生成算法(DGA)等高隐匿性通信模式,给检测和追踪带来新的挑战。loT平台木马对文件侧隐匿性也将更加重视,逐渐出现类似Windows平台的复杂对抗技术,各种加壳和混淆方法将层出不穷。
此外,在木马文件传播上,为了防止关键信息泄露,越来越多的黑客团伙将使用独立的传播工具,不再将漏洞 payload 乃至于弱口令信息内置于木马本体。Windows 平台上的社会工程学手法也将日益增多,攻击者将更加重视利用人的“漏洞”。
