2018 BOTNET趋势报告
2019-03-04
报告执行摘要
破浪前行的互联网巨轮之上,威胁以各种各样的形式潜伏其中。
作为互联网领域持续时间最长的威胁形式之一,Botnet,即僵尸网络,以其易用性、灵活性、高可操作性等特征,成为黑客们最趁手的“凶器”,时刻准备对互联网产业发起致命攻击。
作为应对黑客攻击的主流安全策略,威胁情报是改变攻防对抗不平衡的重要一环,而对Botnet的研究与跟踪则是威胁情报不可缺少的一部分。通过对Botnet的整体监控与分析,可以获取活跃攻击方 式、主要攻击目标、主流攻击手法等第一手情报,对关联组织进行分析与画像,进而实现对网络攻击 的告警与预防乃至对黑产组织的定位与打击。
2018年,绿盟伏影实验室通过持续的追踪和研究,发现Botnet在程序结构、运维方式、经济模式等多个层次上发生了显著变化:
Botnet程序代码结构普遍趋向成熟,开始呈现高度的模块化特征,其恶意行为从执行DDoS攻击扩展为结合挖矿、勒索等模块的多元化攻击;
新平台安全性的羸弱使得Botnet扩散传播更为主动,Windows平台老家族活跃度下降,IoT平台家族则迅速成长壮大;
Botnet开始向少数成熟且功能完善的家族集中,黑产团伙倾向于使用稳定的Botnet家族版本及C&C服务器;
控制者更多地将Botnet的C&C服务器部署在互联网基础设施发达的国家和地区,借助这些区域低廉的部署费用降低Botnet的维护成本;
Botnet控制者在套现方面表现得更加激进,使得其攻击目标扩大至在线服务消费者以及线上黑色产业等;
Botnet黑色产业开始套用新型经济模式,向BaaS(Botnet as a Service)方向发展。
结合本年度观察结果,为了有效打击Botnet,我们建议充分利用各机构、各部门现有的网络资源进行协同治理,确定需要防御的资产以及可能暴露这些资产的攻击面,从而更好地净化网络空间。
2018 BOTNET趋势报告下载