2019BOTNET趋势报告
2019-11-30
随着计算机技术的蓬勃发展,大量网络设备被接入,全球互联网体量急速膨胀。然而,网络安全能 力建设的速度远远赶不上互联网体量膨胀速度,使得互联网安全缺口不断扩大。裂隙之中滋生病菌,大 量网络犯罪集团和个人占据着低安全性的网络资源,组建并控制僵尸网络集群,进而从中获利。
僵尸网络(后文统称为 Botnet)是当今互联网威胁的重要载体。DDoS 攻击、广告捆绑、挖矿、信 息窃取等行为持续依托 Botnet 进行活动,而某些勒索软件会通过 Botnet 进行传播,甚至 APT 攻击也开 始使用 Botnet 探路。近年来,越来越多的 Botnet 开始使用 BaaS(Botnet as a Service)的方式提供服务, 该方式降低了不法分子进行持续威胁的成本,同时也提高了他们控制 Botnet 的便利性。这导致 Botnet数量不断攀升,规模不断扩大,严重危害互联网生态环境,需要对其进行对抗和打击。对抗 Botnet 需 要有针对性的防御措施,打击 Botnet 需要有针对性的组织画像。这都要求对 Botnet 进行研究和追踪, 捕获入侵的恶意软件,分析恶意软件技术,解读其发展趋势,跟踪其最新动态,从而达到获取威胁情报 和防御的目的。
海博网论坛科技伏影实验室多年来持续研究并追踪 Botnet,同时在 APT 研究与跟踪方向也取得重要进展。 总的来说,今年威胁形势与之前相比,既有延续,也有变化,呈现以下趋势:
入侵与传播:
▪ 弱口令爆破和各类远程可执行漏洞仍然是现网攻击入侵的重要手段,涉及平台及资产范围广泛; 鱼叉邮件投送持续活跃,凸显出攻击的阶段性和分工性,给追踪带来了巨大挑战,同时此类攻 击有较强的目标针对性和内容迷惑性,往往能够骗取目标的信任与好奇心,因此多年来屡试不爽。 应对这些入侵威胁,需要管理者和运维者及时更新升级相关系统,并加强对个人的安全意识培训, 以避免受到攻击或最大程度降低因攻击而受到的损失。
持续性威胁:
▪ 爆破活动逐渐从 Botnet 的爆破功能中独立出来,由专项爆破家族实施。新家族 GoBrut 发起了 针对 WordPress 等多种网站管理框架、数据库和远程管理协议的大规模爆破活动,版本不断迭代,
▪ 体现出 Go 语言恶意软件组成的 Botnet 正在迅速发展。 广告捆绑软件为了争夺用户推广软件,持续采取静默安装和广告弹窗等方式,甚至出现了传播恶意软件这种“白夹黑”的情况,其利益链条和安全风险更需进行深入研究。