《《2023年度Botnet趋势报告》.docx》由会员分享,可在线阅读,更多相关《《2023年度Botnet趋势报告》.docx(52页珍藏版)》请在课桌文档上搜索。
1、SINa1.NoUOl执行摘要02僵尸网络发展趋势2.1 针对关基的攻击愈演愈烈,教育行业尤为严重2.2 僵尸网络成为高级威胁攻击的跳板03僵尸网络入侵与感染全景3.1 路由器成为最常被攻击的设备3.2 携带漏洞年代跨度大,不断集成新漏洞3.3 Mirai家族控制设备数最多04僵尸网络攻击全景4.1 QakBot前三季度C&C数量庞大,Mirai新增C&C数量持续增多4.2 美国控制的C&C数量最多,国内C&C主要分布在沿海地区43Mirai下发指令数最多,UDP类型的DDoS攻击方式备受僵尸网络青睐10111213151617184.4 僵尸网络发起的DDoS攻击活动于年底猛增194.5 中
2、美两国遭受攻击最为严重194.6 国内发达地区更易遭受攻击20054.7 络的发展与对抗215.1 1.inUX/1。T平台新兴家族与变种频繁活跃225.2 Windows平台僵尸网络木马家族对抗性持续增强285.3 新兴家族攻击方式与反追踪思路推陈出新305.4 僵尸网络新兴团伙活动3506未来展望一僵尸网络发展趋势预测43甚甚论法学科砥D执行摘要2023年,全球网络安全环境持续恶化,僵尸网络发动的攻击活动日益猖獗。这些活跃的僵尸网络所展现出的特征,与绿盟科技伏影实验室去年的预测高度吻合。入侵与感染方面,随着网络设备和接口数量的高速增长,攻击者可利用的暴露面也在不断扩大。弱口令、安全漏洞、钓
3、鱼网站与邮件、社交工程等入侵手段仍然备受攻击者的青睐。受害者的地理分布与当地经济条件密切相关,发达地区的网络安全风险尤为突出,容易成为僵尸网络的重点攻击目标。关键基础设施遭受攻击的情况日益严重,网络安全建设薄弱的部门成为攻击者渗透的首选目标,其中教育行业尤为明显。文件侧隐匿方面,僵尸网络新家族除了使用常规的规避手段以外,混淆视听正在流行,混淆视听是指通过使用已知家族代码对杀毒软件检测结果进行混淆,隐匿新家族身份。编程语言选择上,使用Golang,Rust等易编程语言的木马家族数量正持续增加,这类语言构建时的打包、内联特性会在二进制层面增加了数量巨大的额外代码,在某种程度上对静态分析检测造成困难
4、。此外,攻击者向木马主动或被动添加垃圾与冗余代码,导致恶意软件体积扩大,进而影响杀软的判断与识别。通信侧隐匿方面,除隧道、DGA外,近两年一些新型对抗手段也在走向实践。攻击者深知僵尸网络追踪的一般思路,在通信细节处做出修改,为安全检测与研究制造障碍。OpenNICxCIouDNS这类非传统DNS解析方式逐渐兴起,被用来隐藏C&C真实IP地址;使用云笔记作为木马托管平台的活动开始增多,这种手段作为云平台充当C&C形式的扩展延伸,在流量侧与IP侧均实现了隐藏效果;此外,利用第三方平台检测家庭或机房IP以及被动连接上线机制亦有现身,旨在对抗在线沙箱检测。扩大影响力方面,越来越多的僵尸网络团伙采取高调
5、宣传策略,他们直接利用互联网进行宣传,将YouTube.TWitter这样的社交媒体作为他们的活动阵地。此外,即时通讯平台亦是这些团伙的活动聚集地,如QQ,Discord及Telegram,这些通讯平台因用户多和隐匿性强而受到众多攻击者的欢迎。发展轨迹方面,僵尸网络团伙在攫取利益方面有着大而统一的发展总路线。主要体现在从无到有、从低到高、从单平台到多平台、从单一业务到DDoS和挖矿通吃的过程。部分中小团伙路线清晰,在追求自主性的同时兼顾初创效率,快速搭建业务框架以期缩短回本时间,待业务框架稍有成形,再做添砖加瓦活动。有的团伙变更频繁甚至反复,在保持弹性、兼顾利益与效率方面不断尝试探索。还有团伙
6、实现了身份拔高与业务转型,从无人问津的木马托管者才凿身一变,成为攻击活动的控制者与运营者。此外,我们也观察到一些大型团伙的身影,他们大肆发展线上与线下人员,组织起一个层次分明而灵活多变的攻击团伙,以尽可能扩大攻击面,来窃取更多的用户数据以求变现。此外,随着世界局势的复杂变化,更高级别的势力开始渗入,也让部分僵尸网络开始介Ai也缘政治。0僵尸网络发展趋势2.1 针对关基的攻击愈演愈烈,教育行业尤为严重2023年,关键基础设施遭受分布式拒绝服务(DDoS)攻击的事件频繁发生。二月,德国多家机场遭受DDoS攻击,导致网站无法访问。六月,希腊教育部遭遇严重的DDoS网络攻击,全国考试受到干扰。同期,D
7、arknetParIiament黑客联盟将目标对准西方银行和SWIFT网络,实施大规模DDoS攻击活动。绿盟科技伏影实验室依托全球威胁狩猎系统,全年累计监测到1400余起较大规模的由僵尸网络发起的针对关键基础设施的攻击活动。从时间分布来看,攻击活动在八月与九月最为频繁,单月最高可达350起。400350300250200500MiraiXORDDoS Gafgythailbot other图2.2攻击关键基础设施家族分布遭受攻击的关键基础设施有半数分布在国内(50%),其次是美国(20%),澳大利亚(5%)和加拿大(3%)。其中,国内以香港、江苏省、北京市受攻击最为严重。中国美国澳大利亚加拿大
8、德国法国U新加坡波兰U俄罗斯U荷兰U其他图2.3遭受DDoS攻击的关键基础设施的地理分布杏港特别行政区江苏省北京市广东省图2.4遭受攻击的关键基础设施国内分布从受攻击的关键基础设施的行业分布来看,教育行业遭受的攻击最为严重,39%的攻击活动都针对该行业,其次是电力(34%)和金融行业(12%),此外,政府机构,航空业以及能源部门也受到波及。图2.5遭受攻击的关键基础设施的行业分布2.2 僵尸网络成为高级威胁攻击的跳板僵尸网络控制者将失陷主机利益最大化的尝试一直未曾减弱,使得其攻击活动呈现复杂化、多元化趋势,常被用来传播其他各类恶意软件。此外,还存在着僵尸网络与其他高级威胁攻击相互配合的情况,形
9、成了复杂的攻击链,在此过程中充当排头兵角色,为后续APT或勒索活动提供关键的跳板作用。伪装力激活工,破解财百存田B的竣管图2.6僵尸网络成为其他高级威胁跳板在1.inuxZIoT平台上,虽有DDoS僵尸网络占据主导地位,但新兴的具备后门及代理能力的家族亦在不断出现。此外,1.inuxAoT僵尸网络大多通过较为陈旧的漏洞进行构建与扩展,即攻击者采用普通手法就能轻易突破防线,这有利于其再次利用相同途径投放高定制化和强隐匿性工具,极大增加了网络安全风险。WindOWS平台上,多有以服务提供者身份存在的僵尸网络,为其他类恶意软件提供投递渠道,这使得它们具备了作为APT哨兵的天然优势。上述情况使得僵尸网
10、络在APT攻击活动中的参与度逐渐上升,一方面体现在基础设施的复用上。Andromeda僵尸网络是一个较为古老”的僵尸网络,最早于20lI年开始活跃,常被用于传播其他恶意软件,后因受多国执法机构联合打击而覆灭。然而在2022年后期至2023年初,APT组织Turla通过注册Andromeda已失效的C&C,并经潜伏后下发部署了TU也常用的KoPi1.UWak和QUIETCANARY恶意软件进行后续攻击活动。另一方面,僵尸网络家族木马本体介入了APT活动的后渗透阶段。Amadey木马于20I8年IO月左右出现在国外黑客论坛,具备远程受控、信息窃取、脚本执行、DDoS攻击以及内网横移等威胁能力。20
11、23年II月,该家族被发现出现在APT组织盲眼鹰的攻击活动中。攻击者在其惯用的PDF鱼叉钓鱼攻击链中使用该家族,将其作为攻击载荷来加载运行。由此可见,APT组织会不断尝试新的攻击手段,将僵尸网络纳入其中,以进行立足酸取、情报探测搜集及定向攻击等活动,这无疑给网络威胁的检测、防范与归因带来了新的挑战。僵尸网络入侵与感染全景根据本年度监测数据,僵尸网络的入侵手段与往年基本一致。1.inUX/1。T平台仍为僵尸网络主要感染目标,其入侵传播途径为弱口令爆破与漏洞利用。此现象一方面源于1.inuxZIoT普通用户鲜少更改初始用户名与口令;另一方面,相关的IoT设备厂商众多,安全状况良莠不齐,存在不同程度
12、的脆弱性。此外,I。T木马与漏洞剥离的趋势开始出现,正朝Windows方向发展,使用独立的传播模块来提高可控性,同时隐藏攻击者资源,以防止Oday漏洞与木马本体被捕获分析一锅端,这也加大了安全拦截的难度。在Windows平台上,窃密木马和流氓软件依旧肆虐,钓鱼传播与供应链传播依然是主流手段。攻击者通过钓鱼电子邮件侵入系统内部,或借助第三方下载站或自建钓鱼网站托管的带毒工具进行传播,或利用即时通信软件发起社工攻击实现入侵,有的甚至采用组合拳的方式,目的便是尽其所能扩大感染面,以构建更庞大的僵尸网络来窃取更多信息,来实现利益最大化。3.1 路由器成为最常被攻击的设备物联网设备的数量迅速增长,在带来
13、便利同时也引入诸多安全问题。这些设备维护性差,漏洞修复缓慢,故屡屡成为黑客的攻击目标。大量设备采用默认登录凭证或者弱密码,攻击者只需通过简单机械的暴力破解便能轻松突破。加之漏洞频出、补丁更新不及时及缺少内置安全防护,导致这些设备成为僵尸网络滋生的温床。图3.1万物互联增加了暴露面路由器由于无处不在而又长时间连接的特点成为最常被攻击的设备。此外,根据伏影实验室抽样统计,易受攻击的设备/平台还包括摄像头、CMS、NVR与NASe图3.21.inuxZIoT设备漏洞分布3.2 携带漏洞年代跨度大,不断集成新漏洞2023年度,绿盟科技伏影实验室全球威胁狩猎系统监测数据显示,1.inux/I。T僵尸网络
14、的漏洞利用整体分布情况与往年相似,累计监测到僵尸网络木马利用超过150多种不同的漏洞进行传播。尽管这些漏洞年代跨度较大,但由于IoT设备在更新和维护方面的延迟性,使得这些漏洞杀伤力强,此外,由于1.inUX/I。T木马的运营门槛较低且竞争激烈,导致其黑产团伙竞相争抢失陷主机节点,迫使漏洞利用转化周期越来越短。2023年度检测到IoT木马携带的新增漏洞为:排名新增漏洞名称ICVE-2023-2680I2CVE-2023-I3893CVE-2023-26802总体排名上,各家族木马携带和利用最多的漏洞分别是:排名漏洞名称ICVE-20I7-I72I52MVPowerDVRTV-7I04HE1.8.
15、4II52I5B9Shell命令注入3CVE-20I4-836I4CVE-20I8-I056I5ThinkPHP5.X远程命令执行6ZyXE1.路由器P660HN-Tvl权限提升CVE-2O17-17215MVPOVMirDVRTV-71O4HE11S21589ShdlCommand1.iecution(M-2014-361CVE-2018-10561ThinPHP5,X-RemoteCommandExecutionZyXUP66OHN-TvlViewtog.asp,CVE-2O15-2O51图3.32023年IoT漏洞利用分布3.3 Mirai家族控制设备数最多监测数据显示,Mirai和Ga
16、fgyt及两者衍生出的变种家族控制设备数常年居高不下,是IoT平台最大的威胁源。33%的受感染设备由Mirai家族控制,修改Mirai源码而来的新型变种家族1.ockerbot和Miori控制设备数占比已发展至5%和3%。Mozi僵尸网络家族P2P结构具备较高的稳定性,在其控制者被执法部门拘留后,至今仍有相当数量的肉鸡。新兴家族hailBot不断攻陷新设备,发展势头正猛。 mirai Mozi MuhstikGafgyt billgates 1.ockerBotMioriNO1.hailBot图3.4各家族感染设备数VapeBotaghstXORDDoSCatDDoS僵尸网络攻击全景4.1Qa
17、kBot前三季度C&C数量庞大,Mirai新增C&C数量持续增多2023年度,绿盟科技伏影实验室全球威胁狩猎系统的监测数据显示,Windows平台的QakBot在被执法部门接管前拥有大量C&C基础设施,仅前三季度的C&C总量就占据全年监测到所有家族C&C总和的29%;IoT平台Mirai及其变种控制的C&C数量最多,占总数的27%,紧随其后的是传统类僵尸网络家族Gafgyt(7%)和新型变种家族hailBot(7%)。ftQakBotIMiraihatBGafgytBMiori9h0st.biBgate.BumbIeBeePikdbotfbotBxorddosBTSUNAMI qudon9rn
18、OiongBNlTOCMDOF1.OONcfconotxK Rofinyi20tCatMtoS ZnaichMuhstikhybridmq PMlRCBOT.KiraiBotuyncKan图4.1僵尸网络各家族C&C数量及占比几个热门僵尸网络家族新增C&C数量在6月份左右达到峰值,之后开始下降;其中,Mirai作为当今热门的头号僵尸网络之一,其单月C&C最高达325个;XorDDoSC&C数量变动呈现一定的周期性,这与其运营团伙活动情况存在关联Windows平台新型僵尸网络家族PikabotC&C数量于年底开始增多,发展势头正盛。3M0图4.2新增C&C数月度变化地区4.2美国控制的C&C数量
19、最多,国内C&C主要分布在沿海XS绿盟科技伏影实验室全球威胁狩猎系统监测数据显示,全球范围内美国境内的僵尸网络主控端数量最多,占到27%,其次为中国,荷兰和加拿大,依次为13%,5%和4%;在国内,C&C主要分布在香港,广东和上海等云主机较为丰富的沿海地区。图4.3C&C地域分布上述C&C总数超过9000个,分属于80C个以上的云服务商/运营商,其中亚马逊、DigitaI。Cean和DeIiS最受攻击者青睐。相比国I,这些海外云服务提供商允许用户非实名化注册,有利于攻击者隐藏身份并规避法律法规因险。Ill图4.4C&C所属运营商/云服务商4.3Mirai下发指令数最多,UDP类型七二二二工击方
20、式备受僵尸网络青睐各家族下发指令数量各有不同。其中,Mirai及其变种家族下友指令数量最多,占总数的83%。作为开源家族,Mirai的变种与C&C数量均位列壬力一目.肉鸡分布也最广泛,是最活跃的DDoS家族。其次是Gafgyt和XorDDoS,分别占到9%和5%0从攻击指令类型来看,UDPFlood持续攀升达到32%ACKFlood(9%)o二ACK.8YPA5S.F1.OOD7%皿37V3I.HOOO.%图4.5下发指令数统计其次为SYNFlood(18%)和 UDP-FtOoo $vn_flood.ACMlD.VStJlOODAC:BYPASS=1.OODHCCOl)-r00AlIM.漫:
21、,.tKg.SYNftYPMSfloodfX18-9%/.NUKEJtoOtf.XzASJgdBOVHJ100dSHCX-Hood4.4僵尸网络发起的DDOS攻击活动于年底猛增DD。S僵尸网络下发指令数的月度变化显示大部分家族均于年底开始提升活跃度。据统计,MiQi作为当今规模最大的DDoS僵尸网络,在2023年年底下发指令数增幅最大,超出其演族H个数量级。XorDDoS作为闭源家族,其攻击活动表现出较高的组织性,通常等待合适时机发起攻击,针对的国家地区也相对固定。根据伏影实验室监测,2023年XorDDoS的攻击目标有高达94%的比例位于中国与美国。而在下发的指令中,有三分之二来自Ata团伙
22、。该团伙近年来仅通过两个域名就累计下发了20余万条攻击指令,目前是该家族的主要控制者之一。250000图4.7受害者地理分布英国中国.10拿大法国新加城西兰的国巴西n俄罗斯S苦必大利亚.HM伊朗日本处带阳拉伯西班牙门罗马尼亚flt的拄就大利护UlfiX他4.6国内发达地区更易遭受攻击国内受害者主要集中在香港,浙江,江苏等地。受害者在地理分布上占比通常与该地的经济发展情况正相关。350003000025000200001500010000_H0_HHIBBHMH1.QA.&JM善通,Arp4r;步V7图4.8国内受害者分布僵尸网络的发展与对抗5.1.inUX/I。T平台新兴家族与变种频繁活跃20
23、23年,I。T平台新型僵尸网络家族与已知家族新变种层出不穷,频繁活跃。开源代码带来的开发门槛及成本降低效应持续发酵,加上黑产活动暗藏的巨大利益,引得大量攻击者趋之若鹫。他们对现有的开源代码框架进行了大量二次开发,加入新型特征,有的甚至互相引用,导致各种基于Mirai和Gafgyt架构开发的木马源源不绝。这些新变种、新家族采用新的攻击方式,采用修改上线流程以及更改通信方式实现反追踪。森始富族2023年变种之葩已有专触图5.1Mirai与Gafgyt各类变种举例Gafgyt此外,越来越多的攻击者开始使用Go语言构建自己的木马程序,Go语言是一种具有出色跨平台能力和交叉编译支持的编程语言,其在僵尸网
24、络构建编程中出色的性能表现深受攻击者喜爱。它的打包机制使文件和函数数量巨大,以很好地对抗分析检测,具备促使僵尸网络家族数量快速增长的便利条件。近两年较为活跃的1.inuxZIoTGo语言类型僵尸网络木马如下:表5.1使用G。语言类型僵尸网络木马家族名称披露时间家族攻击目的Yeskit2022-06DDoSKmsdBot2022-09DDoS、挖矿RedGoBot2022-12DDoSWSZero2022-12DDoSHinauBot2023-03DDoS更迭频繁.已支持最多支持十余种DDOS攻击方式。其背后攻击团伙的武器库也在持续更新,并开始转向暗阿,尝试通过Tor代理的方式通信,隐蔽性进一步
25、增强。DDoS家族更新频率快,传播方式多具有惊人的DDOS破坏力HinataBotWSZero今RedGoBotJor卜1.S-2023.5RedGoBotF=I2022.122022.62022.7、82023.12023.32023.6念自KmsdBot支持针对FiVm平台的专项攻击绿黑科技伏影实聆需干2022年6月首次岩现并命名了MediOcre呼种DDOS僵尸的络家族Yeskite其最新版本引起安全社区广泛关注,被命名为Chaos。2023年以来,该家族不断更迭版本,最新研究确认了其背后的攻击团伙为Ares。图5.2部分Golang家族被发现及活动时间线本节将重点介绍绿盟科技伏影实验室
26、于2022至2023年检测并追踪变化的1.inuxZIoT家族。5.1.1 BOat家族多版本并存伏影实验室于2022年6月捕获DDoS僵尸网络家族Boat,该家族融合了Mirai与Gafgyt基因片段,一直处于快速迭代状态。从2022到2023,Boat先后在代码结构、扫描方式、网络信道与攻击行为方面先后做出显著调整。从发现至今,Boat几乎覆盖了所有常见1.inUX/IqT架构。其控制者资产表明DVR、摄像头、路由器及安卓设备均为其感染目标。同时,该家族多版本同时传播,活动范围极广,种种迹I详见绿盟科技威胁情报微信公众号文章Boat僵尸网络家族的演变象表明其背后存在活跃且专业化的攻击团伙。
27、BoatvlC4C下发弱口令添加扫IS模块念Tor代理Boat.torBoatBoatBoatvJKireDOOS模块大改SocksSUDP通信,DOoS功肥增加,;昆浦Ripperv3Ripperv2RippervlV2BoatRipper图5.3Boat家族的演变INameSue(KB)1.astmodrfiedOWnGroupSize(Bytes)pub202307-10028Pftp4096E2adrNd3s1202JQ7241556即ftp1142n三h(j3sh120ZM)7180636ftpftp1122Bb12023-07231846ftpftp272Bbx12023-07-1
28、71334即ftpkctv3h1202X07-180433ftpftpC(Ma3sh120234)7-261246PftpndvrO3sh12n7-241003ftpftpCgI3sh12023-07-241003ftpftpexAs7202307-26IB26RPftpBkAifnpsl?2023)726182ftpftpBloiasM44202X07-26182ftpftpBkta5432023-07-261828npftp11rclas3sh12023X)7-241133PftpCnJbe3512023-07-241120即ftp11M3s12O23)7-2515O211pftpWaP3
29、i120234)7-231451ftpftp图5.4Boat控制者武器库5.1.2 KmsdBot引入定向攻击模块KmsdBot1家族于2022年8月进入人们视线,因其初始加载器kmsd.exe而得名,兼具挖矿与DDoS功能。该家族基于Golang开发,支持1.inuxZIoT与Windows跨平台,从2022至今已更新多个版本。该家族总体以游戏、高端汽车制造行业为攻击目标,定向性高,并于2022年9月开始出现针对联机平台FiveM的定制化DDoS功能,将攻击粒度推进至具体服务交互,这一点超出了大多数DDoS僵尸网络家族。DDoSvsFiveU开始挖MJSV授块独立植筒化MoSFvM更新金介公
30、公VIv2v3v4一一一,一,一_._,4.VVVVVWVHHIVVV图5.5KmsdBot的演变2023ai11,fiveaain.fiveguidain_ne_fiveaain-neain_fiveguidsain.udpfivea*ain,udpfIveatokenaain,tcpfiVeatokenain_tcpfiveasain.randonfiveadata图5.6KmsdBot的攻击方式演变5.1.3 hailBot大规模布局HailBot2僵尸网络由绿盟科技伏影实验室于2023年9月份首次公开披露,该家族修改自Mirai源码,通过漏洞利用和弱口令扫描爆破的方式进行传播,支持基于
31、TCP和UDP协议在内的多种DDoS攻击方式。haUBt的控制者是有计划有组织的多面攻击手,早在2022年底就开始基于Mirai源代码I详见绿盟科技威胁情报微信公众号文章持续更新的KmsdBot-定制化的僵尸网络家族2详见绿盟科技威胁情报微信公众号文章GaHBockiraiBotcaQDoS-多个新型Mirai僵尸网络变种来势汹汹来构建自己的僵尸网络早期还曾传播过多个搭载CVE-20I7-II882漏洞的诱饵文档,主要攻击金融和贸易机构,之后开始面向IoT平台进行布局,至今已拥有500多个C&C0400350300250200150100500图5.7hailBot新增C&C数月度变化HaiI
32、Bot的攻击目标主要集中在新加坡,美国和加拿大等地,我们观察到hailBot的多个C&C的攻击活动完全一致,它们会在同一时刻下发相同的指令来对特定目标发起攻击。这表明hailBot是一个拥有多级C&C的僵尸网络,这种架构可更好隐藏控制者的核心资产,并极大提高肉鸡数量,同时也利于制造更大规模的DDoS攻击。5.1.4 xorbot新的反追踪思路orbot,于2023年Il月份首次出现,其初始版本文件大小在36KB左右。之后该家族变体出现,文件大小却猛增了近30倍,接近I200KB。新版本因静态链接引入了大量未使用函数,产生了众多无效代码分支,从而影响了杀软静态检测,其检出率曾一度趋于零。nev2
33、023/11/1415:12文件1,159KBold2023/11/1515:46文件36KB图5.8xorbot文件大小变化xorbot是从0开始构建的一个新型僵尸网络家族,采用了全新的架构,并且开发者极其重视木马的隐匿性,甚至为了取得更好的隐匿效果不惜牺牲传播效率;在流量侧也是煞费苦I详见绿盟科技威胁情报微信公众号文章xorb。J一个检出率趋近于零的新型僵尸网络家族心,初始上线交互阶段发送的数据随机生成,并且还引入了加解密算法对关键信息加密存储,使得针对通信流量中字符特征检测的方式失效。不同于大多数传统类型的僵尸网络家族,xorbot在与控制端建立连接后并不急于主动发送上线包,而是被动等待
34、控制端回复。控制端初次发送的数据是随机生成,并通过持续交互来维持连接不中断,整个过程传输加密内容。eoeeeeeeMCe43eeeeee$HciA必biMeeeeee20fMe7C3d8eeMeeeeeeae2bi“g(:,zeeeeee477474if75317937M0eie657)76S57S4Sa5900ee2074)4657fo627aeee48痔ag$c4Meeeeeeese60H%。7eeeeee*mc34Weeeee782ascs乃diCf11eeeeeeee”伸Mce的eeeeee9ef乂“火o”立eeeeeeAeft*456432d4f74118344543S4cM53M5
35、64t)46M446978M44595sw4!s7534t)“3S64Z6s3x544bM4346576S75715774补E$C精彼C6b$GCeX伟(2c4MC2H2行9eSbld2f$WfS376675172SS67父67434c6b52b5d2b7ZYUkbot班的W?成t4ywv1z2Wfi二期渔嘴第二次加送数抿68$44)75SS5a375416e6c384d5155W5653W4141Se364d53667e4861M。S337舔65$eflW)HGAhKMIZCWlVW0Anl8MFjAOJSQQhS16SWTMMA3W5bt皖厨机生成图5.9xorbot父互流量XQrbot是
36、一个正在快速成长中的新型僵尸网络家族,当前版本涵盖了x86,MIPS,RenesasSH,ARM在内的多种CPU架构z虽然该木马当前版本中并无内置的传播模块,但从恶意样本所表现出的对抗手法和其庞大的传播数量不难推测其背后存在着一个专业化的攻击团伙。5.1.5RDDoS家族持续升级RDDoS僵尸网络家族1于2023年8月份首次出现,整体较为精简,该家族是从零开始构建的一个新型僵尸网络家族,近期以来,其控制者不断对该木马更新迭代,增加新的DDoS攻击方式,完善功能。表52RDD。S部分版本迭代情况版本捕获时间特征描述文件大小Vl2023年8月底支持3种DDoS攻击方式40K左右V22023年9月底
37、传播量最多,支持5种DDoS攻击方式40K左右V32023年IO月初持续新增DDoS攻击方式,替换C&C端口。70K左右V42023年IO月中旬代码结构上做了较大调整,替换C&C端口.60K左右I详见绿盟科技威胁情报微信公众号文章警惕新型僵尸网络家族-RDDoSRDDoS传播范围十分广泛,可感染以arm,mips,86等为CPU架构的设备。受感染设备在美国、新加坡、荷兰、中国等地均有分布,在国内的感染区域以上海和浙江尤甚。活动方面,RDDoS以美国、巴西、法国为主要攻击对象,并倾向于使用ICMP_Flood对目标发起24小时不间断DDoS攻击,而这种方式也占到了其攻击活动的八成左右。传播方式方
38、面,监测数据显示大量RDDoS木马通过CVE-202I-35394与CVE-20I4-836I实现入侵。由于其木马本体中并无内置的传播代码,显示RDDoS的控制者极大可能使用了独立的传播工具,这在保证传播可控性同时也可以有效降低Oday关键信息被泄露的可能性。5.2 WindoWS平台僵尸网络木马家族对抗性持续增强2023年,WindoWS平台的僵尸网络肆虐更盛。老牌僵尸网络家族持续更迭,加上新家族陆续出现,导致各类安全事件频发,数据安全受到严重拟敲。相比1.inuloT家族强烈的DDoS与挖矿属性,Windows平台则存在众多以数据窃密为主的僵尸网络家族。某些Windows僵尸网络在闭环运营
39、之余还以服务提供者的姿态出现,来充当其他恶意软件的传播渠道,涉及内容包括其他窃密、勒索、挖矿和DDoS等。本年度较为活跃的Windows平台新型僵尸网络家族如下:5.2.1 GhOst银狐版肆虐GhOSt作为一款Windows远程控制工具,早年间开源后已被黑产组织滥用,经改造产生了海量变种,长期肆虐于Windows平台。2023年,这些变种依旧极其活跃,其中以银狐GhOst尤甚(安全社区又称为WinosxVaIIeyRAT)0银狐在2023年兴风作浪,针对国内金融、教育、电商及其他多个行业,以财务、销售、客服及各类办公人员为目标,通过钓鱼邮件、社交软件及钓鱼网站等多种钓鱼手段来投递银狐GhOS
40、t变种,感染受害者主机,达到远程控制和数据窃取的目的。短短数月内,攻击者不断更新工具链,采用了包括白加黑利用、签名盗用、强壳保护等在内的多种对抗措施,制造了众多安全事件。银狐GhOSt主要通过利用社交工程+即时通信软件钓鱼的方式传播。该团伙会想方设法寻找目标诸如社交媒体账号、客服等暴露于互联网的联系方式,添加对方微信或QQ,通过社交工程向目标发送伪装成正常文件的木马并引诱其下载执行。而对于一些公司单位,在时机成熟条件允许情况下,该组织成员得以加入目标所在群聊进行投毒。投毒文件的名称往往与财务、政策相关,极具诱导性,旨在降低受害者防范意识,使其放松警惕从而中招。之后攻击者可控制受害者的通讯软件转
41、发钓鱼文件或链接,以求感染更多受害者。此外,银狐团伙还部署钓鱼网站,将木马伪装成各类软件的安装包,来引诱用户下载安装。根据安全社区披露,攻击者甚至会通过购买搜索引擎服务来推广自身的钓鱼网站,增加用户信任的几率。感染渠道攻击目标钓鱼邮件银狐GhOSt系列含即时通讯软件社交工程发送传播方式钓鱼网站I生I下栽图5IO银狐传播途径银狐版GhOst引发的一系列安全事件危害极大。攻击者用微信、QQ等社交软件,从私域打开突破口,对目标进行远程控制。对个人而言,一旦攻击者开始操控受害者的社交软件,可将攻击面扩大至其联系人和群聊,窃取更多用户隐私,甚至故意制造混乱,为当事人带来巨大的麻烦。考虑到银狐GhOst背
42、后的黑产组织为了金钱利益毫无底线,因此银狐GhOst存在被APT组织笼络并成为其攻击跳板的可能性,这将对个人及企业的数据安全构成极大威胁。5.2.2 新家族Pikabot接力Qakbot2023年2月,一种名为Pikabot的新型僵尸网络木马出现在Windows平台,主要通过钓鱼邮件与假冒知名软件进行传播。该家族可对肉鸡进行命令控制活动并下发其他恶意软件,在2023下半年活跃频繁,现阶段已成为Windows平台活动最猖獗的家族之一,对网络空间造成极大威胁。2023年8月,国际联合执法力量对知名银行木马Qakbot发起清剿活动致其逐渐式微。Pikabot借机与其他家族瓜分了Qakbot缺位留下的市场份额,占据其生态位并迅速扩张。为匹配快速增长的肉鸡数,Pikabot僵尸网络运营者先后在上下半年对C&C进行了
