該頁無縮略圖
Botnet趨勢報告「2025版」
關于綠盟科技
綠盟科技集團股份有限公司(以下簡稱綠盟科技),成立于2000年4月,總部位于北京。公司于2014年1月29日起在深圳證券交易所創業板上市,證券代碼:300369。綠盟科技在國內設有40多個分支機構,為政府、運營商、金融、能源、互聯網以及教育、醫療等行業用戶,提供全線網絡安全產品、全方位安全解決方案和體系化安全運營服務。公司在美國硅谷、日本東京、英國倫敦、新加坡設立海外子公司,深入開展全球業務,打造全球網絡安全行業的中國品牌。
關于伏影實驗室
專注于安全威脅監測與對抗技術的研究,涵蓋APT高級威脅、Botnet、DDoS對抗、流行服務漏洞利用、黑灰產業鏈威脅及數字資產等新興領域。
研究目標是掌握現有網絡威脅,識別并追蹤新型威脅,精準溯源與反制威脅,降低風險影響,為威脅對抗提供有力決策支持。
采用前沿技術探索與實戰對抗相結合的研究模式,協助國家單位破獲APT攻擊案件數起,全球率先發現8個新型APT攻擊組織,處置40多起涉我APT攻擊事件,為國家重大網絡安保做出突出貢獻。
版權聲明
本文中出現的任何文字敘述、文檔格式、插圖、照片、方法、過程等內容,除另有特別注明,版權均屬綠盟科技所有,受到有關產權及版權法保護。任何個人、機構未經綠盟科技的書面授權許可,不得以任何方式復制或引用本文的任何片斷。
01
執行摘要
02
僵尸網絡發展趨勢 3
2.1大國網絡空間博弈的重要武器 4
2.2高級威脅攻擊的前置 10
03
僵尸網絡漏洞利用情況、傳播情況 14
3.1傳播方式分析 15
3.2感染范圍分析 17
04
僵尸網絡攻擊活動分析 19
4.1攻擊活動分析 20
4.2控制地址分析 22
05
僵尸網絡的發展與對抗 25
5.1僵尸網絡對抗愈加激烈 26
5.2新興家族層出不窮 32
5.3僵尸網絡團伙活躍頻繁 38
06
未來展望 僵戶網絡發展趨勢預測 42
執行摘要
2024年,全球遭遇了空前的動蕩與挑戰,國際政治格局深刻調整,全球經濟形勢錯綜復雜,科技創新與社會文化激烈碰撞。在此背景下,網絡空間成為大國間“兵家必爭之地”,暗潮涌動。作為高級勢力重要工具的僵尸網絡被賦予了新的使命,有了新的用途。
僵尸網絡成為大國網絡空間博弈利器。近年來,在俄烏戰爭及巴以沖突等重大地緣事件中,均監測到僵尸網絡發起過 DDoS 攻擊活動。僵尸網絡經常被用來發起針對對手國家的高強度網絡攻擊,導致其關鍵基礎設施癱瘓;或是通過僵尸網絡操控輿論,進行惡意宣傳,以期達到分化敵對國家的目的;此外,攻擊者還利用僵尸網絡在特定時期發起網絡攻擊活動來表達政治立場以及參與陣營之爭,從而間接影響最終決策。
僵尸網絡威脅態勢日益嚴峻。2024年,僵尸網絡所控制的C&C數量及發起的攻擊活動次數再創新高,其中極大比例的攻擊活動針對國內關鍵基礎設施;在眾多僵尸網絡家族中,Mirai家族最為活躍,Mozi木馬的傳播量持續保持高位;感染方式上,Linux/loT平臺漏洞入侵方式依然占據主導地位,Windows平臺各種新的社工手法層出不窮。
僵尸網絡成為高級威脅攻擊的“跳板”。APT或勒索團伙利用僵尸網絡節點收集目標環境的情報信息,進而投遞后續攻擊組件;或者利用已獲取的立足點分發郵件,充當代理,為后續攻擊做準備;此外,一些惡意軟件集成了勒索、DDoS、竊密等多重功能,通過模塊化組件的形式下發,這些工具落入不同的組織便有了不同的用途。
僵尸網絡新家族展現出日益增強的對抗性。相較于Windows平臺,Linux/loT僵尸網絡文件側的對抗相對較弱,早期多以變形的UPX殼為主,但近年來攻擊者提高了文件側隱匿性的重視程度,逐漸引l入shc、KiteshieldPacker等殼技術來降低殺毒軟件的檢測率;流量層面,對抗依然激烈,攻擊者利用DGA、DOH、OpenNIC、幣安智能合約托管C&C 等技術手段來減少被檢測的概率,或是設計復雜的通信邏輯以避免被安全研究人員追蹤。此外,本年度攻擊者對ssh協議的關注度顯著提升,他們嘗試各種ssh利用技術,以求通過更高效的方式分發惡意軟件或竊取數據。
僵尸網絡新團伙相繼加入借助社交平臺進行宣傳的行列。xorbot與catddos等僵尸網絡家族的控制者,在其演進歷程中,逐漸學習了老牌僵尸網絡團伙的成熟策略,轉而利用社交平臺作為宣傳陣地,并通過諸如 Telegram 等隱私性較強的社交渠道來統一租賃或售賣他們所控制的資源。這一行為特征極大程度上印證了我們先前的預測。這些團伙在發展的早期階段通過社交媒體進行“帶貨”,以提高知名度,吸引投資或直接獲取收益,進而為后續的發展做鋪墊。
僵尸網絡發展趨勢
2.1大國網絡空間博弈的重要武器
近年來,僵尸網絡已演變為國家間網絡空間對抗的重要武器。國家級背景的網絡攻擊團伙通過控制僵尸網絡對目標國的關鍵基礎設施實施高強度的DDoS攻擊,造成其關鍵基礎設施的癱瘓;或是利用僵尸網絡散布謠言,試圖對敵對國家的內部輿論施加影響,以達成政治目的;此外,攻擊者還將僵尸網絡的日常化運營作為數字化時代的關鍵戰略資源,在必要時刻利用這些僵尸網絡對特定領域進行有針對性的打壓。
2024年,我國首款3A游戲《黑神話:悟空》在上線初期遭遇大規模DDoS攻擊事件。其后,我國首個高性能開源AI大模型在發布當天也遭到了持續的DDoS攻擊。此外,美國大選期間、法國逮捕Telegram 創始人等重大事件中,僵尸網絡多次針對關鍵基礎設施發起DDoS攻擊,以表達其立場。烏克蘭廣播電視系統也被僵尸網絡操控,節目內容遭到篡改,引發嚴重的社會恐慌。
這些案例警示我們應持續監測僵尸網絡的感染、控制和攻擊活動,并采取措施治理大規模、分布式的僵尸網絡節點,以有效斬斷其危害鏈條。
2.1.1表達政治傾向,參與陣營之爭
僵尸網絡亦被民眾用以表達政治立場或在特定時期參與陣營之爭,相較于需要在現實世界中通過組織策劃游行的方式表達不滿,DDoS攻擊不受地域限制,可以快速并很容易地將相關目標致癱來表達自己的不滿及訴求。
2024年11月6日(美東時間11月5日),美國舉行了第47屆總統及議會席位選舉。鑒于黨派對立、價值觀分歧等多重政治因素,全球各地的選舉活動歷來是網絡黑客攻擊的焦點。本次美國大選同樣未能幸免,不僅遭遇了網絡攻擊,而且攻擊的強度和頻率均達到了空前的水平。攻擊者借助Mirai等僵尸網絡家族發起攻擊,使用的攻擊基礎設施主要集中在北美和歐洲。
2024年8月24日凌晨,Telegram創始人Pavel Durov(帕維爾·杜洛夫)在巴黎布爾歇機場遭到逮捕,這一突發事件迅速引起了國際社會的廣泛關注。逮捕事件發生后的24小時內,針對法國的 DDoS 攻擊強度急劇上升,攻擊規模達到了空前的水平。黑客團體認為 Telegram 創始人被捕侵犯了他們的言論自由的權利,這激起了他們的強烈不滿。包括 UserSeC、Cyber Dragon、ReconSploit、Evilweb、Rootspolit、CGPlnet和 RipperSec在內的 38 個黑客組織,聯合發起了一系列DDoS攻擊,目標直指法國的多個網站。這些攻擊導致了大量公共平臺網站的服務中斷。
DDoS攻擊逐漸演變為政治表達手段,其影響是多方面的。首先,它可能對國際關系產生影響,加劇國家間的緊張關系。其次,它可能引發對網絡安全和數字主權的討論。最后,它也可能引起公眾對網絡空間作為政治表達平臺的關注和反思。
2.1.2操控輿論,惡意宣傳
僵尸網絡承擔起操控輿論,惡意宣傳的政治任務。別有用心者利用僵尸網絡劫持并篡改網頁及控制大屏播放設備來散布謠言,引發社會恐慌,進而實現其政治目的。
2024年2月中旬,綠盟科技伏影實驗室監測到一個具有顯著政治傾向的僵尸網絡團伙。該團伙一方面通過構建網頁的方式傳播“顛倒黑白”的政治言論,蓄意低毀我國形象。另一方面,該團伙還利用 Mirai僵尸網絡家族控制國內資源,對美國發起攻擊活動。其目的在于制造對我方不利的輿論。
受害者分布
近年來,具備流量劫持能力的僵尸網絡家族逐漸興起。2024年初,安全社區揭露了一個名為“Bigpanzi”的新型僵尸網絡家族。綠盟科技伏影實驗室對該家族進行了深入的追蹤與分析,研究結果表明,Bigpanzi 家族的威脅不僅限于廣為人知的 DDoS 攻擊,它還能夠利用受其控制的Android 電視或機頂盒傳播任意圖像和聲音信息。Bigpanzi家族所具備的這種攻擊能力使其具備的危險性進一步提升,對社會的穩定構成了嚴重威脅。此類攻擊在現實世界中已有許多實際案例,例如在2024年上半年,攻擊者篡改了烏克蘭自由頻道的節目內容,播放了俄羅斯藝術家的歌曲和宣傳短片,以此進行輿論引導和造勢。
2.1.3緊跟時事熱點,精準打擊
在眾多引人矚目的時事熱點事件背后,僵尸網絡的活動痕跡頻繁被發現。由于僵尸網絡發起攻擊具備較高隱蔽性、較強破壞力以及具備高度的針對性,其已成為高級勢力不可或缺的工具。利用僵尸網絡在關鍵時刻發起攻擊,打壓對方,已成為攻擊者慣用的手段。
2024年8月末,正值國內一款風靡全球的游戲《黑神話:悟空》發布并迅速走紅之際,其發行平臺Steam遭遇了全球范圍內的服務器癱瘓事件。眾多玩家推測,服務器崩潰可能是由于《黑神話:悟空》的在線玩家數量過多。然而,完美世界官方隨后發表聲明稱“Steam正遭受DDoS攻擊”。綠盟科技伏影實驗室全球威脅狩獵系統監測數據也證實了這一點,包括CatDDoS在內的多個僵尸網絡家族參與了對《黑神話:悟空》的有組織、有計劃的DDoS攻擊活動。作為中國首款國產3A級單機游戲,《黑神話:悟空》不僅在全球范圍內贏得了大量粉絲,也為中國游戲產業的突破性發展做出了貢獻,同時為全球玩家提供了一個了解中國文化的窗口。攻擊者對這款游戲的攻擊行為或是對國家層面對外文化輸出的一種打壓。
2024年7月,法國成為國際社會關注的焦點。在塞納河畔,備受矚目的巴黎奧運會隆重開幕,這一盛事吸引了國際社會的廣泛關注。然而,在榮耀的光環之下,巴黎也長期遭受DDoS攻擊的威脅。綠盟科技伏影實驗室的全球威脅狩獵系統監測數據顯示,自奧運會開幕的那一刻起,法國便陷入了一場持續的DDoS攻擊風暴。
2024年6月 23日,“HackNeT”“HapoμHag CyberApMMg”等親俄黑客團體攻擊法國巴黎大皇宮、拉羅謝爾電影節等相關網站,他們宣稱此次攻擊活動為奧運前“演練”。8月3日,白俄羅斯選手在蹦床項目奪冠后出現了無法懸掛本國國旗的事件,黑客團體再次發起了 DDoS 攻擊,巧妙地利用 NTP、DNS、netAssistant 等攻擊手段進行反射放大攻擊。文化藝術、電信、教育行業成為主要的攻擊目標。
2.1.4烏克蘭IT志愿軍長期持續發動網絡攻擊
近年來,現實世界的戰爭與網絡戰爭的相互配合的案例屢見不鮮。僵尸網絡逐漸演變為“數字化戰場”上的關鍵武器。
烏克蘭IT志愿軍于2022年2月26日成立,該組織由烏克蘭副總理兼數字化轉型部長米哈伊爾·費奧多羅夫領導,其核心任務是針對俄羅斯和白俄羅斯開展網絡情報活動。為了增強其影響力和提高行動效率,烏克蘭IT志愿軍通過其官方網站進行宣傳,該網站提供了適用于Windows、Linux以及Docker等多個版本的DDoS攻擊工具,并附有詳盡的安裝和使用指南,確保所有參與人員都能順利加入網絡攻擊行動。
烏克蘭IT志愿軍還創建了一個名為“iIT ARMY of Ukraine Chat”的Telegram 群組,用于提供技術指導和交流。通過這一社交平臺,網絡專家們能夠分享經驗、解決技術難題,以及策劃和執行網絡攻擊。2024年,由于 Telegram 創始人 Pavel Durov 在法國機場被拘留,烏克蘭 IT志愿軍出于安全性考慮將統戰中心轉移到 activeness.social(https://activeness.social)。
烏克蘭IT志愿軍通過Telegram 頻道持續發布戰果。2024年6月,他們對敵方銀行系統發起高強度的DDoS攻擊,導致其銀行業務中斷。并通過Telegram發布消息稱:“我們昨日所承諾的對敵方銀行系統的破壞并非空言。今日,更多的銀行及其卡支付系統“Mir’ 已經中斷服務。VTB、Sberbank、Tinkoff、Alfa-Bank、Beeline、MTS、Rostelecom、Gazprombank、Megafon、SBP、NSPK、EIRC 以及其他眾多小型服務目前均無法正常運作。”
烏克蘭IT志愿軍發起的全民參與式網絡攻擊活動為獲取僵尸網絡控制節點(俗稱“肉雞”)開辟了新的思路。此外,這類威脅長期且持續,難以治理,這值得引起我們的警惕。
2.2高級威脅攻擊的前置
僵尸網絡與高級威脅的結合日益緊密。APT或勒索組織對其控制資源的利用效率不斷提升,他們充分挖掘僵尸網絡作為“哨兵”的價值,盡可能多地建立立足點,通過復用僵尸網絡的現有資源來進行后續攻擊活動,或是將僵尸網絡木馬利用到APT活動的后期滲透階段。在整個APT或勒索活動周期中,僵尸網絡扮演著不可或缺的角色。僵尸網絡在網絡安全威脅中扮演著至關重要的角色,其用途多樣且威脅巨大。網絡安全治理應全面考慮各類威脅之間的復雜關系,采取有效措施應對僵尸網絡帶來的安全挑戰。
2.2.1 情報收集
僵尸網絡常被利用于情報搜集活動。攻擊者通過僵尸網絡建立網絡內部的立足點,并將搜集到的情報數據傳輸至控制端。隨后,攻擊者依據這些數據對網絡環境進行深入地分析與評估,以支撐其后續的攻擊策略。
Linux/loT平臺,極大部分僵尸網絡家族都具備信息收集能力,比如 Mirai,Gafgyt 等家族的多個變種會在其上線階段搜集受害者主機的相關信息,這些信息包括但不限于用戶名、主機名、IP地址、操作系統類型、中央處理器(CPU)及隨機存取存儲器(RAM)的使用率,以及CPU核心數量等。而xorddos和Perlbot等僵尸網絡則配備了特定指令集來進行系統數據的搜集。
Windows平臺同樣存在眾多具備信息搜集功能的僵尸網絡家族。以近年來活動極為頻繁的Pikabot家族為例,Pikabot在初始運行階段會搜集包括通用唯一識別碼(UUID)、操作系統版本、用戶名稱、計算機名稱、中央處理器(CPU)信息、圖形處理單元(GPU)信息以及安全軟件信息等在內的受害者主機信息,并以JSON格式進行傳輸至控制端。此外,Kraken家族不僅搜集主機信息,還會實施加密貨幣錢包的竊取行為。
2.2.2 分發釣魚郵件
利用僵尸網絡分發釣魚郵件是攻擊者慣用手段。APT組織常將釣魚郵件作為整個攻擊活動的初始訪問組件,通過精心設計的誘餌文檔來吸引目標群體的注意,誘使受害者啟動攻擊流程。在此過程中,僵尸網絡利用其已建立的立足點進行郵件分發,從而提升攻擊效率。
具備郵件分發功能的僵尸網絡不在少數,Phorpiex僵尸網絡通過盜取密碼轉儲文件,并利用這些信息發送電子郵件。木馬程序首先嘗試連接YahooSMTP服務器,然后啟動數以萬計的線程,從一個數據庫中發送大量垃圾郵件。Necurs僵尸網絡家族則推出了一款.NET郵件模塊,該模塊能夠發送電子郵件,并從 Internet Explorer、Chrome 和Firefox瀏覽器中竊取用戶憑證。攻擊者還能利用關鍵字匹配技術,篩選出他們感興趣的電子郵件地址。
2.2.3投遞武器
僵尸網絡常被用作分發其他攻擊工具的重要媒介,攻擊者利用僵尸網絡已建立的立足點分發攻擊組件,以開展后續的惡意活動。惡意軟件之間相互作為傳播渠道的情況相當普遍,Windows僵尸網絡家族通常扮演服務提供者的角色。例如,Emotet 曾被發現用于傳播 Nitol、IcedID、QakBot、AzoRult、Zeus Panda、UmbreCrypt 和Trickbot等多種惡意軟件家族;盡管Linux/loT平臺僵尸網絡之間相互作為渠道的現象并不顯著,但它們通常具備自我更新、下載和執行命令等功能,這為它們提供了分發其他攻擊工具的基礎能力。
2.2.4充當代理
僵尸網絡亦可被用作代理服務器,攻擊者通過這些代理服務器更好地隱匿真實身份,繞過地域限制及防火墻規則,擴大攻擊范圍,以及提供更快速的數據傳輸,進而更隱秘地進行網絡釣魚、身份盜竊、傳播惡意軟件等后續活動。例如,Pink 僵尸網絡便提供了 Socks5代理服務,它通過接收來自控制端的指令,根據這些指令生成隨機的用戶名和密碼。為了實現Socks5代理功能,Pink僵尸網絡采用了libev庫,并對shadowsocks-libev 的代碼進行了簡化,從而實現了Socks5代理的核心功能。
2.2.5開源Rat備受APT團伙青睞
開源RAT因功能全面,效果好,成為APT或勒索團伙慣用攻擊組件,攻擊者經常使用開源RAT完成信息搜集和遠程控制的目標。研究表明,集竊密、勒索和DDoS等多重功能于一身的惡意軟件正在迅速增長。開源木馬DcRAT的1.0.0版本就是一個例證,它集成了勒索、DDoS和遠程控制等多種功能。
XWorm軟件的2.1版本同樣集成了分布式拒絕服務攻擊(DDoS)、勒索軟件功能以及遠程控制等功能。LimeRAT在2018年8月22日發布的v0.1.8.0版本中新增了DDoS攻擊功能,并且已經集成了勒索軟件和遠程控制功能。
傳統認知中,已經習慣于依據威脅的危害性將其劃分為僵尸網絡、APT或勒索軟件。然而,網絡安全是一個相互關聯的整體,牽一發而動全身。不同類型的網絡威脅之間存在著復雜關系。一方面,一次完整的網絡入侵事件往往涉及多種威脅的協同作用,僵尸網絡不僅可以為APT攻擊或勒索軟件活動收集情報,還能作為惡意軟件的傳播渠道;另一方面,一些惡意軟件集成了勒索、挖礦、遠程控制和分布式拒絕服務(DDoS)等多重功能。這類木馬通常采用插件化管理,客戶端以加載器的形式存在,這種設計使得客戶端體積較小,不會影響其傳播效率。當這類多功能武器落入APT團伙手中時,他們可以部署竊密組件;而當勒索組織使用這些惡意軟件時,他們則部署勒索組件。僵尸網絡團伙使用這類工具時,它便成了DDoS工具,其用途取決于使用者。
僵尸網絡
漏洞利用情況
傳播情況
2024年,Linux/loT平臺木馬依舊通過漏洞利用和弱口令進行傳播,而Windows平臺則主要依賴釣魚郵件和社會工程學手段入侵。
3.1傳播方式分析
Linux/loT僵尸網絡仍然使用漏洞和弱口令進行傳播。綠盟科技伏影實驗室的全球威脅狩獵系統監測數據顯示,這些木馬所攜帶的漏洞年代較為久遠,CVE-2017-17215和CVE-2014-8361等漏洞的使用頻率依然居高不下,這從側面反映了loT設備安全建設的滯后性。即便攻擊者利用的是極為陳舊的漏洞,仍能輕易地突破防御。
此外,攻擊者傾向于使用獨立的傳播模塊。他們將漏洞利用及掃描模塊與木馬分離,這能有效保護關鍵信息不被泄露。例如,新興的僵尸網絡家族Mirai.Nomi就配備了獨立的漏洞掃描器,傳統型僵尸網絡家族XORDDOS則擁有獨立的ssh掃描模塊,連使用的弱口令都未對外暴露。
釣魚郵件成為 windows 僵尸網絡傳播的主要途徑。相較于Linux/loT平臺,Windows平臺的安全性建設通常更為成熟,攻擊者試圖利用已知的老舊漏洞進行入侵的成功率并不高。然而,由于Windows平臺用戶基數龐大,用戶與設備之間交互頻繁,攻擊者以此為契機利用社會工程學從人的行為上尋找突破口。攻擊者或是通過發送誘餌郵件誘導用戶點擊,或是制作外掛及盜版軟件誘導用戶下載,又或者通過微信、QQ等社交平臺傳播惡意文件。
Windows平臺最活躍的網絡攻擊組織“銀狐”便是典型的案例。攻擊者通過一系列精心設計的誘餌策略,如偽造郵件、社交應用陷阱以及模擬合法網站的釣魚站點,散布GhOst變種,旨在滲透用戶設備,實現對目標系統的遠程操縱與數據非法獲取。
銀狐的攻擊方式大多是在微信或QQ群里面散播破解軟件、釣魚文件,進而釋放和運行遠控木馬,接著控制操作失陷主機上的微信、qq 等,在每一個群發一遍釣魚文件繼續控制其他主機,持續循環。此外,“銀狐”還構建了多個釣魚站點,巧妙地將木馬藏匿于各類流行軟件的安裝包中,誘使用戶主動下載并安裝。甚至于不惜投入,通過購買搜索引擎廣告位,提升釣魚網站的曝光度與可信度,以此提高用戶的點擊率與感染風險。
3.2感染范圍分析
美國境內存在大量僵尸網絡受控端。從受感染設備的地理分布進行分析,美國境內的受感染設備數量居于首位,占比達到 45% 。印度、俄羅斯和巴西依次位列其后,占比分別為18% 1 14% 和 8% 。美國作為僵尸網絡的“毒窟”,其境內不僅控制著全球數量最多的僵尸網絡C&C基礎設施,同時也深受僵尸網絡的侵襲,存在著大量受感染設備。
經濟發達地區易成為僵尸網絡傳播重災區。2024年,綠盟科技的伏影實驗室全球威脅狩獵系統累計監測到逾17萬個惡意軟件下馬地址,這些地址遍布80多個國家。惡意軟件傳播的地理位置分布顯示,印度存在較多的站點被攻陷并用于傳播惡意軟件,下馬地址中 19% 位于印度。
在國內,下馬地址數量排名前五的省份依次是:河南省、山西省、湖南省、山東省和遼寧省。
地域性差異主要受當地經濟發展狀況、互聯網發展成熟度以及法制監管力度的多重因素影響。在互聯網發展更為成熟的地區,網絡接入設備數量較多,相應的安全風險也較大,導致受感染設備數量增多;而在法制監管更為嚴格的地區,治理效果更佳,受感染設備數量則相對較少;經濟發展較好的省則有更多資金投入到安全防護上,以此有效提高防治效果。
僵尸網絡攻擊活動分析
2024年,綠盟科技伏影實驗室全球威脅狩獵系統監測數據顯示,Mirai僵戶網絡控制的C&C服務器數量最多,且其攻擊活動最為頻繁;Mozi僵尸網絡惡意樣本傳播量仍居高不下,盡管其控制者已被執法機構逮捕,但p2p 網絡結構的穩定性導致其仍在傳播。僵尸網絡傾向于使用UDPFLOOD發起攻擊,眾多自命名的攻擊手段本質上屬于UDP類型的泛洪攻擊。國內是遭受僵尸網絡攻擊最嚴重的國家,而僵尸網絡的控制端大多位于境外,其中美國最多。僵尸網絡攻擊日益猖獗,因此需要高度重視治理,優先治理影響范圍大、攻擊頻繁且對我方有嚴重危害的僵尸網絡。
4.1攻擊活動分析
Mirai攻擊活動最為頻繁。2024年度,綠盟科技伏影實驗室全球威脅狩獵系統累計監測到逾百萬條攻擊指令。在攻擊指令家族分布方面,Mirai及其變種家族占據主導地位,下發指令數量占總監測數的 68% ,XORDDOS家族位居次席,占比 23% ,hailbot 家族和 Gafgyt 家族分別占 5% 和 2% 。
分析月度數據分布,9月份攻擊指令數量達到峰值,當月累計下發超過五十萬條攻擊指令。此數量激增主要由于傳統惡意軟件家族XORDDOS與新興 Mirai變種gorillabot 在該月的異常活躍所致。
中國是遭受DDoS攻擊最多的國家。綠盟科技伏影實驗室的全球威脅狩獵系統監測數據顯示,全球近120個國家遭受了由僵尸網絡發起的分布式拒絕服務(DDoS)攻擊。在這些國家中,中國遭受的攻擊最為嚴重,占所有攻擊活動的 34% ,其次是美國 (17%) 、加拿大( \left(10%\right) 和德國 (4%) )。國內遭受攻擊最為嚴重的前五個省依次為:山東省、香港特別行政區、湖北省、浙江省和江蘇省。國內遭受網絡攻擊的情況日益嚴峻,加強對關鍵基礎設施的防護迫在眉睫。
僵尸網絡傾向于使用UDPFLOOD發起攻擊。從攻擊指令類型的角度分析,SYNFLOOD和UDPFLOOD攻擊最為普遍。大量僵尸網絡木馬新家族DDoS功能的實現借鑒了既有的攻擊代碼,眾多自命名的攻擊手段本質上屬于UDP類型的泛洪攻擊。考慮到“肉雞”資源的有限性,UDP協議能夠產生相對較高的攻擊流量,因此,此類攻擊備受僵尸網絡青睞。
4.2控制地址分析
Mozi傳播量最多,Mirai控制C&C數量最多。依據綠盟科技伏影實驗室的全球威脅狩獵系統監測數據,從僵尸網絡月度新增C&C數量分布來看,2024年5月份新增的C&C總數量最少,而年底則達到最多。從家族層面分析,Mozi僵尸網絡家族的惡意樣本傳播量一直居高不下,盡管其控制者已被執法機構逮捕,并未實際發起過任何攻擊活動,但p2p 網絡結構的穩定性導致其仍在傳播。Mirai僵尸網絡家族持續構成最高威脅,其控制的C&C服務器數量在所有僵尸網絡中居于首位。此外,源自Mirai源碼的新型僵尸網絡家族hailbot和Miori家族的C&C服務器數量也呈現出顯著的增長趨勢。這也從側面反映了越來越多的“腳本小子”懷揣著“一夜暴富”的夢想加入僵尸網絡開發與運營行列,通過低門檻、低成本的開源代碼來構建僵尸網絡。
僵尸網絡控制C&C主要集中在美國。2024年,綠盟科技的伏影實驗室全球威脅狩獵系統捕獲了超過5000個活躍C&C。從地理分布分析,美國控制的C&C服務器數量最多,占總數的15% ,緊隨其后的是荷蘭( .13%) )、印度( .10% )和俄羅斯( .10% )。美國境內存在大量的僵尸網絡團伙,且疏于監管,這導致其控制的C&C數量逐年攀升,對全球網絡空間安全造成極大威脅。
上述5000余C&C(命令與控制)分布于400多家運營商/云服務商,其中BharatSanchar Nigam Ltd、LeaseWeb Netherlands B.V 和 Hetzner Online GmbH 的數量最多。這些海外云服務提供商允許用戶匿名注冊,這為攻擊者隱藏身份并規避法律法規風險提供了便利。以下是前10名的分布情況:
僵尸網絡的發展與對抗
2024年,僵尸網絡新家族層出不窮。Mirai類老牌僵尸網絡不斷衍生出新的變種家族;Tbot等家族相繼采用高效的“分組管理”策略;gorillabot單在9月份單月就下發了超過30萬條攻擊指令。僵尸團伙活動日益頻繁,團伙化趨勢愈加明顯,xorbot和catddos等僵尸網絡家族的控制者在演進過程中,逐漸利用社交平臺作為宣傳陣地。
僵尸網絡攻防對抗日益激烈,流量側引I入OpenNIC、DoH和DGA等技術手段,試圖繞過常規流量監測設備;文件側引入新的殼技術,不斷嘗試新的對抗殺軟的方式。這對治理提出了新的挑戰,及時發現僵尸網絡引入的新對抗技術并采取相應的應對策略顯得尤為重要。
5.1僵戶網絡對抗愈加激烈
5.1.1殼保護升級-Botnet的新“馬甲”
近年來,Linux/loT平臺惡意軟件呈現快速發展趨勢。然而,與Windows平臺相比,Linux/loT木馬在文件側的對抗策略尚顯不成熟,大多數Linux/loT木馬采用的文件加殼保護技術主要依賴于經過變形處理的UPX 殼。隨著網絡安全攻防技術的持續演進,Linux/loT 僵尸網絡逐漸加大文件側對抗力度,開始引入 shc 以及 Kiteshield Packer 等保護殼技術。可以預見,Linux平臺惡意軟件將發展出更多樣化的對抗手段和殼技術。
2024年,綠盟科技伏影實驗室監測到一批利用shc保護殼的木馬文件大規模傳播,經過詳細分析,該木馬隸屬于已知的僵尸網絡家族Perlbot的新變種。shc工具能夠將shell腳本編譯成二進制文件,而目前的病毒檢測引擎在識別shc加密腳本方面存在明顯的不足。長期以來,shc打包技術在挖礦程序和后門程序中廣泛使用,但在僵尸網絡中卻鮮有出現。由于其腳本性質,攻擊者可以以極低成本對原始文件進行修改,且打包后的文件體積不會增加太多,Perlbot的原始腳本文件大小約為60KB,而使用shc打包后的大小為 80KB,這保證了木馬的傳播效率不受影響。shc的易用性和高隱蔽性會導致此類僵尸網絡日益增多。
同年,一種名為KiteshieldPacker的加殼工具開始流行。目前,殺毒引擎對這種殼的檢測率非常低。KiteshieldPacker通過多層加密技術來封裝ELF二進制文件,并運用了反調試、字符串混淆、XOR加密、RC4加密等多種防御手段,這大大提高了分析其打包的二進制文件的難度。監測數據顯示,已有多個組織開始利用Kiteshield實現惡意軟件的免殺功能,APT組織 winnti使用的攻擊組件中的userland rootkit,暗蚊組織使用的Dropper木馬,以及傳統的僵尸網絡家族Gafgyt,都開始采用這種殼技術。
5.1.2利用DGA逃避檢測
相較于文件側,Linux/loT平臺木馬在流量側的對抗更為激烈。Mirai家族雖然存在眾多變種,但極少出現使用DGA(域名生成算法)變種。然而在2024年,安全社區披露了一個通過引l入了DGA算法來規避檢測的名為Mirai_nomi的變種家族。
采用DGA算法的木馬能夠生成大量備選域名,并進行查詢。攻擊者和惡意軟件運行相同的DGA算法,生成相同的備選域名列表。在需要發動攻擊時,攻擊者會選擇其中少量域名進行注冊,從而建立通信。此外,攻擊者還可以應用速變IP技術,快速變換IP地址,使得域名和IP地址都能迅速變化。
Mirai_nomi使用了基于時間的DGA,并加入了驗證機制。該木馬沒有采用常見的通過轉換系統時間的方法來獲取時間,而是通過網絡時間協議(NTP)來獲取時間。樣本中硬編碼了多個公共的NTPIP地址,獲取NTP返回字段中的參考時間戳后,會將時間戳與特定數字進行整除運算。最終生成的每個域名由兩部分組成。
5.1.3獨特的反追蹤思路
2024年,由綠盟科技伏影實驗室獨家對外公開披露的新興僵尸網絡家族xorbot不斷更新其版本并引入新功能,已經發生了顯著的變化,其背后的操控者也開始積極地展開營利性運營活動,通過Telegram等強隱匿性社交平臺公開宣傳提供DDoS攻擊租賃服務。
Xorbot木馬具備顯著的反追蹤特性,其上線過程采取了被動方式。即在與控制端建立連接后,它不會立即發送上線包,而是選擇等待,直到接收到控制端發送的數據。這些數據是隨機生成的,每次連接時的內容都獨一無二。隨后,客戶端會將隨機字符串以及受害主機的系統架構等信息一并回傳給服務器端。Xorbot的這種設計機制加強了木馬的隱匿性,同時也在一定程度上對憑借流量特征中固定的字符特征來識別并捕獲木馬新增C&C的方案造成一定困擾。并且在C&C停止下發數據時,通過沙箱環境無法獲取完整通信記錄。這導致Xorbot木馬在一定程度上具備了反追蹤的特性。
5.1.4通過DOH增強隱匿性
2024年,安全社區披露了一個名為Zergeca 的新型僵尸網絡家族,綠盟科技伏影實驗室對其展開跟蹤分析。該家族支持多種域名系統(DNS)解析機制,且采用了DNS overHTTPS(DOH)技術。這顯著提升了其通信的隱蔽性。DNS over HTTPS(DOH)是一種將DNS查詢加密并利用HTTPS協議進行傳輸的技術。采用DNS oVerHTTPS(DOH)通信技術具有顯著的優勢。首先,DOH利用HTTPS協議對DNS查詢流量進行加密,有效防范了傳統DNS查詢中可能出現的信息泄露、篡改及劫持等安全風險;其次,DOH有效解決了DNS劫持問題,由于DNS查詢的加密特性,第三方難以輕易獲取用戶的瀏覽歷史等隱私數據;此外,DOH能夠規避特定網絡過濾和劫持,提供更為穩定和可靠的DNS查詢服務;DOH還可借助內容分發網絡(CDN)等技術,提升DNS解析的效率,從而優化網絡連接速度。
5.1.5利用幣安智能合約托管C&C
2024 年,安全社區披露了一個名為 Smargaft 的新型僵尸網絡家族。該僵尸網絡家族通過濫用幣安智能合約托管C&C,木馬程序利用JSON格式的數據與控制端進行交互,使用了一種無需支付費用的方式(eth_call),通過特定的合約地址調用合約方法來獲取最新的C&C。并在通過智能合約獲取C&C指令時使用了“latest”字段。由于“latest”總是引用區塊中的最新狀態,這種做法能夠有效地規避基于loC(指標與簽名)檢測的流量分析設備。
幣安智能鏈是由幣安(Binance)開發和維護的一個區塊鏈平臺,功能與以太坊(Ethereum)有所類似卻獨具特色。智能合約,作為這一平臺的核心組件,實質上是部署于區塊鏈之上的自動化執行協議或程序腳本。它們通過預設的代碼邏輯,能夠在滿足特定條件時自動履行操作或合同條款,無需任何第三方介入,從而確保了交易與互動的信賴度。能夠保證所有操作均被永久記錄,無法被悄無聲息地修改或抹去。這些特性可以保證木馬能夠穩定并隱秘地長期獲取新的C&C。
5.1.6挖掘ssh新用法
2024年,僵尸網絡團伙、黑灰產以及眾多腳本小子都再度對ssh表現出了濃厚的興趣,試圖探索其新的應用模式,并嘗試利用 ssh 建立隧道,以投遞惡意樣本或竊取敏感信息。微軟已經為Windows系統增加了對ssh的支持,ssh用戶群體極為龐大,使得其潛在的暴露面進一步增加。基于ssh服務,用戶可以實現端口轉發、跳板登錄以及建立socks代理等多種功能。例如,ssh的-J參數允許用戶指定跳板機,這相當于內置了端口轉發功能。-」參數還支持指定多個跳板機。
ssh 木馬種類繁多,最常見的有通過將 ssh 公鑰寫入到目標機器的 authorized_keys 文件中實現免密碼登錄,或者通過 strace 捕獲 ssh 登錄密碼反饋至服務端;更有部分攻擊者通過魔改開源ssh工具的登錄驗證流程將公鑰硬編碼于登錄認證代碼的方式預留后門;此外,通過 ssh投遞惡意樣本的攻擊案例也頻繁出現,除了常見的 ssh掃描,攻擊者還利用 ssh結合一些選項和本地命令,連接到遠程服務器傳輸并執行惡意文件。
5.1.7利用QEMU作為隧道工具
2024年初,安全社區披露了一起攻擊者利用QEMU作為隧道工具進行內網穿透的攻擊活動。QEMU是一種開源的計算機仿真器和虛擬器,可以在不同的架構上運行任意操作系統或程序,它還支持虛擬機之間的連接(通過-netdev等選項)。本次攻擊活動中,攻擊者在C&C服務器上啟動一個QEMU作為服務端監聽特定端口,接著在受感染設備上再啟動一個QEMU 作為客戶端,并通過特定的命令連接到服務端所監聽的端口上。啟動后,QEMU 會在服務端和受感染設備之間建立一條隧道,攻擊者便可以在此基礎上對受感染設備所在網絡內的其它子網發起攻擊,進而有效繞過防火墻等設備的攔截。此外,由于攻擊者在運行QEMU時既不使用磁盤映像也不使用LiveCD,它對受感染系統的性能幾乎沒有影響。
攻擊者在攻擊活動中通過對合法工具的巧妙應用達成目標,這在有效逃避檢測的同時將惡意軟件的開發成本降至最低。此外,網絡掃描、竊取數據、遠程文件執行等功能都可以借助合法軟件來完成,這值得引起我們的警惕。
5.1.8利用反病毒廠商內核驅動終止殺軟
2024年5月份,安全社區監測到名為“匿鏟”的挖礦木馬活動頻繁,綠盟科技伏影實驗室隨即對相關事件進行了跟蹤分析。本次攻擊活動所使用的一項對抗技術引起了我們的注意,攻擊者濫用反病毒軟件的舊版本內核驅動程序中的功能來結束反病毒軟件和EDR。整套攻擊流程中攻擊者先通過一段PowerShell代碼來下載并安裝反病毒軟件的舊版本內核驅動程序;接著,攻擊者使用另一個PowerShell腳本解密并內存加載控制器,控制器用來控制內核驅動程序。盡管那些被濫用的舊版內核驅動程序已經得到了更新,但它們目前仍有可能被非法利用,從而有效地繞過大多數反病毒軟件的防護。
5.1.9引I入OpenNIC域名
近年來,非傳統類DNS 解析方式OpenNIC正在逐漸興起,RapperBot、CatDDoS、hailbot 等多個僵尸網絡家族相繼引I入這一技術。OpenNIC 是獨立于ICANN 的另一套域名體系,其域名無法通過常見的DNS(如8.8.8.8、114.114.114.114)解析,必須使用指定的NameServer。僵尸網絡木馬通過引入OpenNIC域名進而減小了被監測和接管的可能性,與此同時,OpenNIC域名解析上也存在效率或穩定性等問題。OpenNIC域名支持的TLDs 如下:
5.1.10利用STUN協議獲取公網地址
RapperBot等僵尸網絡家族引I入STUN協議以獲取肉雞公網地址和端口信息。STUN協議是一種輕量級的網絡協議,基于UDP,它允許應用程序發現它們與公共互聯網之間存在的NAT(網絡地址轉換)和防火墻等,并確定NAT分配給它們的公網IP地址和端口號。在僵尸網絡中,攻擊者利用STUN協議這一特性,向STUN服務器發送請求,從而獲取被感染的肉雞設備的公網地址和端口信息。這些信息對于攻擊者來說至關重要,因為它們可以利用這些信息進行更精準的攻擊。
5.2.新興家族層出不窮
5.2.1大家庭持續增添新成員
2024年,綠盟科技伏影實驗室監測到多個基于Mirai源代碼二次魔改而來的新型僵尸網絡家族。這些家族或是對Mirai的通信協議進行了修改,或新增了特定功能,亦或構建了獨立于Mirai原有指令解析邏輯之外的新控制指令格式。Mirai家族每年都會衍生出大量新變種,其中大多數呈現曇花一現的趨勢,然而,亦有部分變種持續活躍,并在不引人注目的情況下逐漸壯大。本小節將介紹綠盟科技伏影實驗室于2024年捕獲但并未公開對外披露的部分較為活躍且獨具特色的Mirai變種家族的發展情況。
5.2.1.1gayfemboy瞄準國內設備
2024年初,綠盟科技伏影實驗室全球威脅狩獵系統監測到一個流量特征中帶有“gayfemboy”標識的木馬開始活躍起來,我們將該木馬命名為 gayfemboy,并對其活動重點監測。其后,安全社區也相繼披露該家族,至今,gayfemboy 已頗具氣候,持續攻占國內設備,國內已確認大批量失陷主機,其中不乏關鍵基礎設施,從地域分布來看,黑龍江和天津地區受害最為嚴重。
gayfemboy基于Mirai源代碼修改而來,使用 20多個漏洞和Telnet弱口令傳播樣本,注冊了No-IP 的動態域名作為 C&C,樣本上線時,會發送“gayfemboy”這一特定的字符序列。該僵尸網絡具備較強的隱匿性及對抗性,會通過mount命令將自身文件掛載到空目錄,使用隨機進程名并kill競爭對手。該家族除了具備DDoS攻擊能力之外還支持自更新以及命令執行等功能,這使得其具備的威脅性進一步提高,攻擊者在控制大量設備后,可以在此基礎上展開更為隱蔽更為高級的攻擊活動。
5.2.1.2Labot發展勢頭正盛
2024年10月份,一個傳播名為“la.bot.arm7”的惡意文件進入了我們視野,經鑒定,該惡意文件隸屬于一個新的僵尸網絡家族,我們將其命名為Labot。綠盟科技伏影實驗室全球威脅狩獵系統監測數據顯示,Labot發展迅速,構建數十個C&C基礎設施,不斷入侵新設備,并利用這些設備頻繁發起攻擊。受影響國家包括美國(主要受襲)、意大利、俄羅斯及英國等。
Labot基于Mirai源代碼修改而來,與Mirai僵尸網絡相比,Labot僵尸網絡在上線及心跳流量方面展現出明顯的差異,其上線流量數據包中包含有“fuck”這一特定字符串,server端回復心跳數據中包含了固定字符串“PTVW”。Labot作為一類新興僵尸網絡家族,雖未采用過于復雜的技術,其表象看似平庸無奇,然而,正是這類看似不起眼的木馬家族,構成了loT領域新興威脅的主要部分。攻擊者憑借開源代碼迅速構建起其控制網絡的初步框架,并在此基礎上不斷迭代升級,控制更多設備,引入新的攻擊模塊,靜待時機。對于每一種新興威脅,我們都應給予足夠的重視,防患于未然。
5.2.1.3Moobot_webserv獨特的指令解析模塊
2024年6月份,綠盟科技伏影實驗室監測到Mirai變種家族Moobot增添了新的功能,整體結構發生了較大變化,我們將其命名為Moobot_webserv 并持續監測。Moobot 家族存在 Moobot_socks5,Moobot_tor,Moobot_go,Moobot_xor 等諸多變種,Moobot_webserv主要的特色體現在木馬開發者嘗試在常規Mirai指令解析模塊以外添加新功能,其主體功能以 DDoS 為主,內置了9種DDoS攻擊方法,并獨立于原有解析邏輯實現了自更新,文件下載等功能。此外,Moobot_webserv的C&C域名以“ru”結尾,疑似與俄羅斯存在關聯。
Moobot_webserv上線完成后,Bot端在接收到Server端的回復時,并不急于進入原有的指令解析模塊。相反,它引入了一層新的判斷邏輯:如果檢測到的是常規的 Mirai類攻擊指令,則會將其引導至相應的處理模塊進行解析;而對于其他情況,Bot端可以根據不同的指令,在不觸發Mirai常規命令處理邏輯的前提下,執行其他功能,例如下載文件和自更新等。這種設計極大地簡化了新功能的添加過程。攻擊者在后續操作中,可以直接在判斷邏輯中加入命令執行、信息竊取以及代理等操作。
| 条件 | 执行操作 |
| Buff[0] =0x99 | 退出 |
| Buff[0]=0x33Buff[1]=0x66 Buff[2]=0x99 | 发送包含“webserv”字符串的数据到服务端 |
| Buff[0]=0x66Buff[1]=Buff[0] Buff[2]=0x33 | 充当httpd服务器,实现自更新 |
| Other | 进入“attack_parse()”函数,等待接收指令并解析攻击指令,并 发起DDoS攻击 |
5.2.2DDoS新王gorillabot
2024年9月份,綠盟科技伏影實驗室全球威脅狩獵系統監測到一個自稱是gorilla botnet的新型僵尸網絡家族進入異常活躍狀態,該家族在9月4日至9月27日期間下發30余萬條攻擊指令,攻擊密度之高令人震驚。gorilabot 本輪活躍期內的攻擊目標涵蓋100多個國家,中美兩國為重災區,其攻擊目標涉及大學、政府網站、運營商、銀行、游戲、博彩等多個單位或行業。
gorillabot 支持 arm,mips,x86_64,x86 等多種CPU 架構,該家族修改自 Mirai 源代碼,新增了多種DDoS攻擊方式,并通過KekSec團伙慣用加密算法來隱藏關鍵信息,同時通過多種技術手段來維持對loT,云主機等設備的長期占有,還具備反蜜罐能力,是一種具備較高對抗意識的新興僵尸網絡家族。
5.2.3超大分組型僵戶網絡家族TBOT
2024年,安全社區揭露了一個名為TBOT的Mirai變種家族,我們對其進行了深入的跟蹤分析。研究表明,該僵尸網絡采用了分組模式,構成了一個規模龐大的僵尸網絡,擁有超過100個分組。當TBOT與C&C建立連接時,它會攜帶一組分組信息,這些信息旨在標識并組織受感染的設備,以便攻擊者能夠更高效地管理和控制龐大的僵尸網絡。這些分組信息包括一些關鍵的標識符(如 selfrep,Emerge,xpon 等),以及設備的操作系統類型或其他識別信息。
該僵尸網絡保留了大量原始mirai代碼,整體運行邏輯和網絡協議與mirai保持一致,主要功能是執行DDoS攻擊,攻擊目標遍布全球,沒有明顯針對性。它使用OpenNIC自定義域名,通過RC4等算法對關鍵信息加密存儲,并具備Oday漏洞利用能力,每日活躍的受感染設備數超過3萬,受感染設備比較多的地區主要為中國、委內瑞拉、印度、韓國、巴西、日本等地。
5.2.4catddos漸成氣候
2024年,catddos攻擊活動顯著增加。該僵尸網絡家族在發展過程中出現了專門的Telegram 群組,這些群組被用來宣傳自身或者銷售catddos 控制的資源。后期,原作者在這些群組中發布了關于服務關停的通知,然而,在服務關停之后,由于源代碼的出售或泄露,catddos陸續出現了新的變種,并衍生出眾多分支。盡管這些不同變種可能由不同的團伙運營,但它們在代碼結構、通信協議、字符串特征以及解密方法等方面保持了高度的一致性。
監測數據顯示,CatDDoS僵尸網絡家族所利用的漏洞種類繁多,攻擊范圍廣泛,通過大量已知漏洞傳播樣本。其攻擊目標遍布全球,尤其集中在北美和歐洲的多個國家,包括美國、法國、德國、巴西以及亞洲的中國等。這些攻擊主要針對云服務提供商、教育機構、科研組織、信息傳輸服務、公共管理部門以及建筑行業等多個領域。
5.2.5Zergeca僵戶網絡獨特的通信模式
2024年,安全社區披露了一種新型僵尸網絡家族,命名為Zergeca。綠盟科技伏影實驗室對其進行了跟蹤分析。研究結果表明,Zergeca 是一個以 DDoS 攻擊為核心功能的僵尸網絡家族,并且具備自升級、持久化、文件傳輸、反向 shell以及收集設備敏感信息、代理和掃描等能力。這些特性使得Zergeca的威脅性顯著提高。
Zergeca 的實現采用了 Go語言,其開發者早期曾運營過 Mirai 變種。該木馬支持多種DNS解析方式,并優先采用DNS-oVer-HTTPS(DOH)進行解析。此外,它還利用Smux庫來實現 C2 通信協議。Smux(Simple MUltipleXing)是Go語言的一個多路復用庫,它依賴于底層鏈接(如TCP或KCP)來提供可靠性和排序,并實現面向流的復用。
5.2.6銀狐持續集成新對抗手法
2024年,銀狐無疑是活躍于Windows平臺上的最猖獗的僵尸網絡之一。綠盟科技的伏影實驗室捕獲了大量針對我國用戶的“銀狐”的最新變種。在傳播過程中,攻擊者持續利用偽裝成財務、稅務違規稽查通知等主題的釣魚信息和收藏鏈接,通過微信群直接傳播含有該木馬病毒的加密壓縮包文件。
2024年以來,銀狐不斷集成新的對抗方式,表現出極強的對抗性。
| 对抗手法 | 简介 |
| 利用COM组件改写防火墙规则 | 通过COM组件改写防火墙规则,实现断网,并阻止样本上传,随后,样本将“白加黑” 后门文件释放到本地磁盘,并以相同方式删除先前修改的防火墙规则以恢复网络连接。 |
| 利用企业级管理软件 | 银狐为了实现长期控制用户电脑,会利用一些正规的企业管理软件,如IP-Guard、 Ping32和阳途终端安全等,实现在系统中的长期驻留。 |
| rpc+管道创建计划任务 | 通过构造RPC数据包并发送请求至对应的RPC服务,能够绕过多个终端安全软件对 CreatServices、NrdClientCall3等3环函数的Hook,从而规避服务创建监控和限制, 构建出全白的进程链,使进程可信,且与原始进程断链,提升隐匿性,降低查杀阈值。 |
| PoolParty注入 | PoolParty注入是一种全新的注入技术,当前杀毒引擎缺乏对该注入方式的检测能力。 PoolParty的技术核心是巧妙地操纵Windows线程池的工作项(如TP_WORK、TP_ WAIT等),将自定义的shellcode插入到目标进程内,而不会留下明显的痕迹。 |
| ICMLuaUtil绕过uac | COM提升名称(COMElevationMoniker)技术允许运行在用户账户控制下的应用程 序用提升权限的方法来激活COM类,以提升COM接口权限。同时,ICMLuaUtil接 口提供了ShellExec方法来执行命令,创建指定进程。因此,我们可以利用COM提 升名称来对ICMLuaUtil接口提权,之后通过接口调用ShellExec方法来创建指定进程, |
5.3 僵尸網絡團伙活躍頻繁
5.3.1Hail團伙高歌猛進
2024年,Hail團伙控制的僵尸網絡家族hailbot攻擊活動異常頻繁,其控制的C&C數量累計超過700個,且每月新增的C&C服務器數量仍在持續增長。hailbot在本年度累計下發了超過五萬條攻擊指令,攻擊范圍覆蓋了70多個國家。其中,巴西( 28% )、美國( 19% 和中國( .16% )遭受的攻擊最為嚴重。
Hail團伙最初將金融和貿易機構作為其主要攻擊目標,以木馬載荷托管業務為主,托管Lokibot、Formbook、AsyncRAT等Windows平臺竊密木馬,并自2022年下半年起開始針對loT平臺部署僵尸網絡,轉向DDoS攻擊活動。時至今日,該團伙已發展成為loT平臺不容忽視的一大威脅源,其C&C 增長速度居于各類Mirai變種之首,攻擊活動也極為頻繁,這值得引起我們的警惕。
5.3.2KekSec團伙新增運營多個新型僵戶網絡家族
過去的一年里,安全社區鮮有披露KekSec團伙新的攻擊活動,該團伙看似已成歷史,但實際上,他們一直都在,且極為活躍。綠盟科技伏影實驗室全球威脅狩獵系統監測數據顯示,雖然該團伙早期創建的多個僵尸網絡均已銷聲匿跡,但仍有部分家族生存了下來,并不斷更新版本,其核心代碼也在多個家族中被相互復用。與此同時,該團伙還在不停地構建新的僵尸網絡家族。
2024年,綠盟科技伏影實驗室依托全球威脅狩獵系統監測到KekSec團伙新增運營了兩個僵尸網絡家族,依據木馬作者在二進制文件中留有的簽名信息,我們將這兩個新型僵尸網絡家族命名為hbot和HAEDBot。
監測數據顯示,hbot是KekSec團伙長期運營著的一個新型僵尸網絡家族,該家族修改自Gafgyt源碼,我們對hbot的命名來源于二進制文件中留有的字符串簽名信息“hbotproc starting.”。該木馬支持多種 DDoS 攻擊方式,直至2024年5月份,依然在持續更迭版本,并利用安卓設備的adb接口大肆傳播。
2 sub_8049040();
3 sub_804AC60();
4 sub_804E4A2("hbot proc starting...");
.5 sub_80481c0(a0vk);
.6 sub_804E117(15, (unsigned int)"/bin/busybox", 0, 0, 0);
7 \*(_DWORD \*)\*a2 =0;
8 sub 804F522(\*a2, a0vk);
HAEDBot最早于2024年年初出現,該家族具備較強的隱匿性,構建了基于Tor網絡的通信信道,同時內置多組加解密算法隱藏敏感信息。HAEDBot的命令解析模塊及整體功能與Gafgyt_tor和EnemyBot等家族較為相近,支持命令執行,掃描爆破,充當下載服務器等功能,具備TCPFLOOD,UDPFLOOD,HTTPFLOOD及DNSFLOOD等十余種類型的 DDoS 攻擊方式。
5.3.3機J頂盒上的新威脅--Bigpanzi
2024年,安全研究社區披露了一個名為Bigpanzi的新型僵尸網絡團伙。綠盟科技伏影實驗室對其進行了深入的追蹤分析。研究表明,該組織已經活躍了長達八年,主要通過盜版應用程序和固件更新來感染基于Android系統的電視和流媒體設備。典型的感染途徑是用戶在智能手機上訪問可疑的流媒體網站,不經意間將惡意應用程序下載到他們的Android智能電視上。
Bigpanzi的樣本種類繁多,包括PE、DEX、ELF等多種格式。它具備較強的對抗性,采用了UPX變形殼,以及ollvm的控制流平坦化和指令替換技術,并運用了多重反調試技術。其危害不僅限于廣為人知的 DDoS 攻擊,Bigpanz 還能利用被控制的Android 電視或機頂盒在不受法律法規約束的情況下傳播任意圖像和聲音信息。
| 团伙名称 | Bigpanzi |
| 出现时间 | 2015年开始活跃起来 |
| 受感染设备数量 | 10万量级受感染设备,主要位于巴西 |
| 感染设备类型 | Android操作系统的电视、机顶盒,eCos操作系统的机顶盒等 |
| 传播方式 | 诱使用户安装带有后门的免费的视频APP,影像娱乐平台 |
| 主要业务 | 流量代理,DDoS攻击,互联网提供内容的服务,盗版流量 |
| 核心组件 | pandoraspear(Android系统的后门木马,支持ddos,命令执行等) Pcdn(通过P2P协议将诸多被感染设备组网,形成一个类似P2P的内容分发网络,DDoS攻击) |
| DDoS工具 | |
| 对抗技术 | 通过修改hosts保护自身资产,防止被sinkhole |
| 采用了UPX变形壳技术,以及ollvm的控制流平坦化和指令替换技术,并运用了多重反调试技术 动态链接,依赖第3方的libcurl库,大部分沙箱下无法运行 | |
| 危害 | 不仅有大家熟知的DDoS攻击,它还可以利用被控制的Android电视或机顶盒不受法律法规约 束地传播任何图像、声音信息。 |
未來展望一僵尸網絡發展趨勢預測
本年度,全球網絡安全形勢持續惡化,僵尸網絡發起的攻擊活動愈發猖獗。我們基于對僵尸網絡的深入研究長期積累的研究數據對Botnet2025年度的發展趨勢做出以下預測:
將出現更多具有國家級背景的僵尸網絡。攻擊者會將僵尸網絡視為“戰略儲備資源”,在關鍵時刻利用其隱匿性、定向性和高破壞力對特定目標發起攻擊。別有用心者會利用僵尸網絡傳播不實信息,制造社會恐慌,以實現其政治目的。
APT和勒索團伙將進一步提升對僵尸網絡的利用率。攻擊者將充分利用僵尸網絡來獲取情報信息、分發其他惡意組件,并在僵尸網絡的掩護下執行高級攻擊。同時,集勒索、DDoS、信息竊取等多種功能于一體的組件式惡意軟件也將日益增多。
以盈利為目的的傳統僵尸網絡團伙將模仿現有的“帶貨”模式迅速擴張。在發展初期,他們將通過Twitter、Telegram等隱秘性較高的社交平臺進行宣傳、租賃和銷售所控制的資源,以積累原始資本或吸引投資,為后續發展打下基礎。
僵尸網絡木馬的隱匿性將得到進一步加強。網絡側對抗將一如既往地激烈,攻擊者不斷引引入類似DNS-oVer-HTTPS(DOH)、域名生成算法(DGA)等高隱匿性通信模式,給檢測和追蹤帶來新的挑戰。loT平臺木馬對文件側隱匿性也將更加重視,逐漸出現類似Windows平臺的復雜對抗技術,各種加殼和混淆方法將層出不窮。
此外,在木馬文件傳播上,為了防止關鍵信息泄露,越來越多的黑客團伙將使用獨立的傳播工具,不再將漏洞 payload 乃至于弱口令信息內置于木馬本體。Windows 平臺上的社會工程學手法也將日益增多,攻擊者將更加重視利用人的“漏洞”。
