- Botnet開始向少數(shù)成熟且功能完善的家族集中�����,黑產(chǎn)團(tuán)伙傾向于使用穩(wěn)定的Botnet家族版本及C&C服務(wù)器����;
- 控制者更多地將Botnet的C&C服務(wù)器部署在互聯(lián)網(wǎng)基礎(chǔ)設(shè)施發(fā)達(dá)的國家和地區(qū)�����,借助這些區(qū)域低廉的部署費(fèi)用降低Botnet的維護(hù)成本����;
- 我們觀察到,價格低廉�、審核寬松的VPS(Virtual Private Server)降低了非組織黑產(chǎn)人員架設(shè)Botnet網(wǎng)絡(luò)的成本;
網(wǎng)安江湖“百曉生”之所以揚(yáng)名立萬����,就是因為他的情報是從數(shù)據(jù)中提煉而來,從情報中感知威脅�����,這也就是威脅情報的核心理念�����。
“招數(shù)”源頭
僵尸網(wǎng)絡(luò)如此兇險的招數(shù)究竟出自何門何派呢����?僵尸網(wǎng)絡(luò)最早的歷史淵源可以追溯到 1993 年在 IRC 聊天網(wǎng)絡(luò)中出現(xiàn)的 Bot 工具——Eggdrop,它能夠自動地執(zhí)行如權(quán)限管理�����、記錄頻道事件等一系列功能�,幫助 IRC 網(wǎng)絡(luò)管理員更方便地管理聊天網(wǎng)絡(luò)。黑客受到這種工具的啟發(fā)�����,1999 年 6 月,在因特網(wǎng)上出現(xiàn)的 PrettyPark 首次使用了 IRC 協(xié)議構(gòu)建命令與控制信道����,從而成為第一個惡意僵尸程序。
招數(shù)特點及斑斑劣跡
僵尸網(wǎng)絡(luò)在江湖中又為何如此臭名昭著�����?主要還是由于來勢洶洶����,殺傷面積大。從2010年起�����,僵尸網(wǎng)絡(luò)開始迅速發(fā)展��;2016年Mirai僵尸網(wǎng)絡(luò)對美國的電信服務(wù)商Dyn進(jìn)行攻擊����,導(dǎo)致美國1/3地區(qū)的人們無法連接到互聯(lián)網(wǎng),此時僵尸網(wǎng)絡(luò)的影響力已逐步擴(kuò)大;時間到了2018年��,攻擊者利用upnp漏洞傳播的僵尸網(wǎng)絡(luò)���,在短時間內(nèi)就控制了10W多臺路由器,如果結(jié)合高放大倍數(shù)的反射攻擊��,造成的損失將是無法估計的��,遠(yuǎn)遠(yuǎn)超越2010年前的僵尸網(wǎng)絡(luò)所帶來的危害�,短短8年間,僵尸網(wǎng)絡(luò)的時效及影響范圍已經(jīng)達(dá)到了聳人聽聞的地步��。諸如此類的攻擊不斷的升級�����,在這些高威脅來臨時�����,對防護(hù)類設(shè)備提出了新的考驗�,也影響了威脅情報在網(wǎng)絡(luò)安全領(lǐng)域的發(fā)展方向及落地方式。
“江湖通緝令”
在國際上�,工業(yè)界和政府部門非常關(guān)注僵尸網(wǎng)絡(luò)對因特網(wǎng)帶來的嚴(yán)重安全威脅,微軟公司在2004年發(fā)起了國際反僵尸網(wǎng)絡(luò)工作組,2006 年 6 月�,美國陸軍研究辦公室 ARO、國防高級研究計劃署 DARPA和國土安全部 DHS 等 3 個部門聯(lián)合在 GA Tech 舉辦了僵尸網(wǎng)絡(luò)專門研討會�����,匯集學(xué)術(shù)界��、政府部門和工業(yè)界的研究人員對這一安全威脅進(jìn)行了深入探討���,并匯總出版了《Botnet Detection: Countering the Largest Security Threat》����。
2014年11月����,受法國軍方支持,由民間組織建立了名為BotConf的僵尸網(wǎng)絡(luò)對抗技術(shù)論壇��,匯聚了全世界研究僵尸網(wǎng)絡(luò)的安全研究人員���,在此會議上發(fā)布了包括DGA算法的檢測手段等眾多研究成果��。
2018年����,由各大國際網(wǎng)絡(luò)安全廠商及電信服務(wù)商組成的CSDE理事會發(fā)布了《INTERNATIONAL ANTI-BOTNET GUIDE》,用以研討如何與僵尸網(wǎng)絡(luò)攻擊進(jìn)行對抗���。
“百曉生”的千里眼和順風(fēng)耳
百曉生《兵器譜》的背后是千千萬萬個數(shù)據(jù)來源織就的恢恢法網(wǎng)�,跟蹤與監(jiān)測著黑客家族的一舉一動�����。在2018年綠盟科技伏影實驗室共監(jiān)控到攻擊命令10萬余條��,其中有效攻擊目標(biāo)數(shù)量為40萬余次���,相較去年(20萬余次)增長了66.4%,受影響的行業(yè)包括新聞��、投資�����、影視���、消費(fèi)�����、云服務(wù)��、游戲等�,嚴(yán)重影響人們正常的工作生活。伏影實驗室依托綠盟威脅情報平臺���,輸出了大量的僵尸網(wǎng)絡(luò)控制�����、攻擊信息�����,能夠協(xié)助終端設(shè)備快速定位威脅來源����,迅速截斷惡意請求的流量�,加大惡意流量的辨識效果,有效的提升了僵尸網(wǎng)絡(luò)的檢測率和阻斷率��,保證各類業(yè)務(wù)正常運(yùn)行����。
伏影實驗室通過對Botnet的整體監(jiān)控與分析��,獲取了活躍攻擊方式��、主要攻擊目標(biāo)����、主流攻擊手法等第一手情報���,對關(guān)聯(lián)組織進(jìn)行分析與畫像,進(jìn)而實現(xiàn)對網(wǎng)絡(luò)攻擊的告警與預(yù)防乃至對黑產(chǎn)組織的定位與打擊�����。
江湖小貼士:
結(jié)合2018年度觀察結(jié)果���,為了有效打擊Botnet�����,我們建議充分利用各機(jī)構(gòu)����、各部門現(xiàn)有的網(wǎng)絡(luò)資源進(jìn)行協(xié)同治理。確定需要防御的資產(chǎn)以及可能暴露這些資產(chǎn)的攻擊面�����,從而更好地凈化網(wǎng)絡(luò)空間��。
完整版報告下載鏈接如下:
http://www.nsfocus.com.cn/upload/contents/2019/03/20190304155147_95404.pdf
