- Botnet開始向少數成熟且功能完善的家族集中,黑產團伙傾向于使用穩(wěn)定的Botnet家族版本及C&C服務器�;
- 控制者更多地將Botnet的C&C服務器部署在互聯網基礎設施發(fā)達的國家和地區(qū),借助這些區(qū)域低廉的部署費用降低Botnet的維護成本�;
- 我們觀察到,價格低廉���、審核寬松的VPS(Virtual Private Server)降低了非組織黑產人員架設Botnet網絡的成本�����;
網安江湖“百曉生”之所以揚名立萬���,就是因為他的情報是從數據中提煉而來,從情報中感知威脅,這也就是威脅情報的核心理念��。
“招數”源頭
僵尸網絡如此兇險的招數究竟出自何門何派呢�����?僵尸網絡最早的歷史淵源可以追溯到 1993 年在 IRC 聊天網絡中出現的 Bot 工具——Eggdrop�,它能夠自動地執(zhí)行如權限管理、記錄頻道事件等一系列功能��,幫助 IRC 網絡管理員更方便地管理聊天網絡����。黑客受到這種工具的啟發(fā),1999 年 6 月���,在因特網上出現的 PrettyPark 首次使用了 IRC 協議構建命令與控制信道��,從而成為第一個惡意僵尸程序�����。
招數特點及斑斑劣跡
僵尸網絡在江湖中又為何如此臭名昭著?主要還是由于來勢洶洶����,殺傷面積大�。從2010年起����,僵尸網絡開始迅速發(fā)展;2016年Mirai僵尸網絡對美國的電信服務商Dyn進行攻擊�,導致美國1/3地區(qū)的人們無法連接到互聯網,此時僵尸網絡的影響力已逐步擴大����;時間到了2018年,攻擊者利用upnp漏洞傳播的僵尸網絡��,在短時間內就控制了10W多臺路由器��,如果結合高放大倍數的反射攻擊���,造成的損失將是無法估計的���,遠遠超越2010年前的僵尸網絡所帶來的危害,短短8年間���,僵尸網絡的時效及影響范圍已經達到了聳人聽聞的地步���。諸如此類的攻擊不斷的升級���,在這些高威脅來臨時,對防護類設備提出了新的考驗��,也影響了威脅情報在網絡安全領域的發(fā)展方向及落地方式��。
“江湖通緝令”
在國際上�,工業(yè)界和政府部門非常關注僵尸網絡對因特網帶來的嚴重安全威脅,微軟公司在2004年發(fā)起了國際反僵尸網絡工作組����,2006 年 6 月,美國陸軍研究辦公室 ARO���、國防高級研究計劃署 DARPA和國土安全部 DHS 等 3 個部門聯合在 GA Tech 舉辦了僵尸網絡專門研討會����,匯集學術界��、政府部門和工業(yè)界的研究人員對這一安全威脅進行了深入探討��,并匯總出版了《Botnet Detection: Countering the Largest Security Threat》�����。
2014年11月��,受法國軍方支持��,由民間組織建立了名為BotConf的僵尸網絡對抗技術論壇���,匯聚了全世界研究僵尸網絡的安全研究人員�,在此會議上發(fā)布了包括DGA算法的檢測手段等眾多研究成果��。
2018年���,由各大國際網絡安全廠商及電信服務商組成的CSDE理事會發(fā)布了《INTERNATIONAL ANTI-BOTNET GUIDE》�,用以研討如何與僵尸網絡攻擊進行對抗����。
“百曉生”的千里眼和順風耳
百曉生《兵器譜》的背后是千千萬萬個數據來源織就的恢恢法網,跟蹤與監(jiān)測著黑客家族的一舉一動�����。在2018年綠盟科技伏影實驗室共監(jiān)控到攻擊命令10萬余條�����,其中有效攻擊目標數量為40萬余次,相較去年(20萬余次)增長了66.4%�,受影響的行業(yè)包括新聞、投資�����、影視���、消費�����、云服務�、游戲等����,嚴重影響人們正常的工作生活。伏影實驗室依托綠盟威脅情報平臺�,輸出了大量的僵尸網絡控制、攻擊信息�,能夠協助終端設備快速定位威脅來源,迅速截斷惡意請求的流量�,加大惡意流量的辨識效果����,有效的提升了僵尸網絡的檢測率和阻斷率���,保證各類業(yè)務正常運行。
伏影實驗室通過對Botnet的整體監(jiān)控與分析����,獲取了活躍攻擊方式、主要攻擊目標��、主流攻擊手法等第一手情報����,對關聯組織進行分析與畫像��,進而實現對網絡攻擊的告警與預防乃至對黑產組織的定位與打擊�����。
江湖小貼士:
結合2018年度觀察結果��,為了有效打擊Botnet,我們建議充分利用各機構��、各部門現有的網絡資源進行協同治理�。確定需要防御的資產以及可能暴露這些資產的攻擊面,從而更好地凈化網絡空間���。
完整版報告下載鏈接如下:
http://www.nsfocus.com.cn/upload/contents/2019/03/20190304155147_95404.pdf
