2018BOTNET趋势报告.pdf

绿盟科技伏影实验室推荐目 录1. 执行摘要 .11.1 关于绿盟科技伏影实验室 .31.2 关于绿盟威胁情报中心NTI .32. 年度趋势总览 .43. 年度数据解读 .63.1 总体指令特征 .73.1.1 数据特征 .73.1.2 特征解读 .83.2 家族活跃特征 .93.2.1 数据特征 .93.2.2 特征解读 .113.3 地理分布特征 .123.3.1 数据特征 .123.3.2 特征解读 .173.4 DDoS攻击特征 .183.4.1 数据特征 .183.4.2 特征解读 .193.5 扩散传播特征 .213.5.1 数据特征 .213.5.2 特征解读 .244. 热点家族及载荷详述 .264.1 IoT家族-Gafgyt .274.2 多平台家族-BillGates .30目录4.2.1 家族变种发展 .304.2.2 追踪数据分析 .324.3 挖矿载荷-XMRig .344.4 勒索载荷-Satan .385. 总结与展望 .40目录12破浪前行的互联网巨轮之上，威胁以各种各样的形式潜伏其中。作为互联网领域持续时间最长的威胁形式之一，Botnet，即僵尸网络，以其易用性、灵活性、高可操作性等特征，成为黑客们最趁手的“凶器”，时刻准备对互联网产业发起致命攻击。作为应对黑客攻击的主流安全策略，威胁情报是改变攻防对抗不平衡的重要一环，而对Botnet的研究与跟踪则是威胁情报不可缺少的一部分。通过对Botnet的整体监控与分析，可以获取活跃攻击方式、主要攻击目标、主流攻击手法等第一手情报，对关联组织进行分析与画像，进而实现对网络攻击的告警与预防乃至对黑产组织的定位与打击。2018年，绿盟伏影实验室通过持续的追踪和研究，发现Botnet在程序结构、运维方式、经济模式等多个层次上发生了显著变化：Botnet程序代码结构普遍趋向成熟，开始呈现高度的模块化特征，其恶意行为从执行DDoS攻击扩展为结合挖矿、勒索等模块的多元化攻击；新平台安全性的羸弱使得Botnet扩散传播更为主动，Windows平台老家族活跃度下降，IoT平台家族则迅速成长壮大；Botnet开始向少数成熟且功能完善的家族集中，黑产团伙倾向于使用稳定的Botnet家族版本及C&C服务器；控制者更多地将Botnet的C&C服务器部署在互联网基础设施发达的国家和地区，借助这些区域低廉的部署费用降低Botnet的维护成本；Botnet控制者在套现方面表现得更加激进，使得其攻击目标扩大至在线服务消费者以及线上黑色产业等；Botnet黑色产业开始套用新型经济模式，向BaaS（Botnet as a Service）方向发展。结合本年度观察结果，为了有效打击Botnet，我们建议充分利用各机构、各部门现有的网络资源进行协同治理，确定需要防御的资产以及可能暴露这些资产的攻击面，从而更好地净化网络空间。执行摘要31.1 关于绿盟科技伏影实验室伏影实验室专注于安全威胁与监测技术研究。研究目标包括僵尸网络威胁，DDoS对抗，WEB对抗，流行服务系统脆弱利用威胁，身份认证威胁，数字资产威胁，黑色产业威胁及新兴威胁。通过掌控现网威胁来识别风险，缓解威胁伤害，为威胁对抗提供决策支撑。为深入研究Botnet，伏影实验室设立了跟踪Botnet的独立系统，采集来自各方面的威胁数据，提取数据中包含的Botnet线索，使用独特的手段对线索关联到的Botnet进行持续观测并采集指令，从而感知Botnet动态，进而掌控Botnet趋势，为攻击预警、应急响应、数据分析等提供支持。伏影实验室对Botnet的研究成果融入到了绿盟科技的多个产品当中，包括为IDPS产品持续提供规则，为NTI产品输出大量IoC情报等。通过对Botnet的专向研究，保证了绿盟科技在威胁感知领域的专业度与敏感度，从而为客户持续提供独到而权威的威胁情报，更好地应对网络威胁。1.2 关于绿盟威胁情报中心NTI绿盟威胁情报中心（NSFOCUS Threat Intelligence center，NTI）是绿盟科技为落实智慧安全2.0战略，促进网络空间安全生态建设和威胁情报应用，增强客户攻防对抗能力而组建的专业性安全研究组织。其依托公司专业的安全团队和强大的安全研究能力，对全球网络安全威胁和态势进行持续观察和分析，以威胁情报的生产、运营、应用等能力及关键技术作为核心研究内容，推出了绿盟威胁情报平台以及一系列集成威胁情报的新一代安全产品，为用户提供可操作的情报数据、专业的情报服务和高效的威胁防护能力，帮助用户更好地了解和应对各类网络威胁。执行摘要25相比过去，2018年Botnet变化频繁。Botnet关键特征中，活跃家族、运行平台、攻击方式等皆出现了较大的变化。本年度数据显示，2018年总共监控到攻击命令111472条，其中有效攻击目标数量为451187次，相较去年增长了66.4%，平均每条攻击指令包含4个攻击目标；然而，攻击命令下发超过100次的活跃家族数量由12个减少到9个。具体家族方面，除去17年底开始爆发的BillGates家族外，本年度指令数占比21%的mayday家族、占比9.5%的Gafgyt家族、占比7.4%的Mirai家族等也进入活跃状态。所属平台方面，Linux及IoT平台家族新增C&C（Command & Control，命令控制服务器）占比从4.4%飙升至31%，显示物联网平台正在成为Botnet攻防的主要战场。地理位置方面，美国在作为C&C服务器的主要部署地（占比30.64%）的同时也是Botnet攻击的最大受害者（占比47.2%）；中国的C&C数量（占比29.79%）与被攻击次数（占比39.78%）与美国体量大致相当。家族类型方面，本年度勒索、挖矿、DDoS三类仍属于最常见的家族类型，此外银行木马、远控木马、盗号木马等亦常出现在应急事件当中。DDoS攻击类型方面，使用混合型攻击的家族开始占据主流。由我们监控的Botnet所产生的DDoS攻击指令涵盖了tcp flood，syn flood，ack flood，udp flood，dns flood，http flood，icmp flood等在内的几乎所有攻击门类，其中，udp flood与tcp flood分别占据总指令数的39.8%和35.5%，是主要的攻击指令类型。扩散与传播方面，本年度Botnet入侵记录中，弱口令爆破日志占据总记录数的55.3%；监测到各家族热点漏洞利用54个，其中90.7%来自IoT平台设备。年度趋势总览3