黑客的拿手伎倆——僵尸網絡

在面對互聯網威脅的過程中，Botnet即僵尸網絡，作為互聯網領域中持續時間最長的一類威脅形式，以其泛用性、靈活性、高可操作性等特征，成為攻擊者的主要攻擊手段之一，因此對僵尸網絡進行研究是必不可少的獲取情報的途徑。

僵尸網絡的招數變化

綠盟科技伏影實驗室基于2018年持續追蹤和研究所獲得的數據，發布了《2018年度BOTNET趨勢報告》，從Botnet在程序結構、運維方式、經濟模式等多個層次上發生的顯著變化進行了闡述：

Botnet程序代碼結構普遍趨向成熟，開始呈現高度的模塊化特征，其惡意行為從執行DDoS攻擊擴展為結合挖礦、勒索等模塊的多元化攻擊;

新平臺安全性的羸弱使得Botnet擴散傳播更為主動，Windows平臺老家族活躍度下;

降，IoT平臺家族則迅速成長壯大;2018年，Linux及IoT平臺家族的C&C服務器數量在整體數據中占比從上年度的4.4%提升至31%，產生的攻擊數量占觀測量的92%;

IoT平臺家族控制的肉雞發出的攻擊與高倍數反射DDoS攻擊技術相結合，達到隱藏攻擊源，產生巨量攻擊流量的目的，加大了DDoS攻擊防御難度;

Botnet開始向少數成熟且功能完善的家族集中，黑產團伙傾向于使用穩定的Botnet家族版本及C&C服務器;

控制者更多地將Botnet的C&C服務器部署在互聯網基礎設施發達的國家和地區，借助這些區域低廉的部署費用降低Botnet的維護成本;

我們觀察到，價格低廉、審核寬松的VPS(Virtual Private Server)降低了非組織黑產人員架設Botnet網絡的成本;

Botnet控制者在套現方面表現得更加激進，Botnet向BaaS(Botnet as a Service)方向發展，使得其攻擊目標擴大至在線服務消費者以及線上黑色產業等。

網安江湖“百曉生”之所以揚名立萬，就是因為他的情報是從數據中提煉而來，從情報中感知威脅，這也就是威脅情報的核心理念。

“招數”源頭

僵尸網絡如此兇險的招數究竟出自何門何派呢?僵尸網絡最早的歷史淵源可以追溯到 1993 年在 IRC 聊天網絡中出現的 Bot 工具——Eggdrop，它能夠自動地執行如權限管理、記錄頻道事件等一系列功能，幫助 IRC 網絡管理員更方便地管理聊天網絡。黑客受到這種工具的啟發，1999 年 6 月，在因特網上出現的 PrettyPark 首次使用了 IRC 協議構建命令與控制信道，從而成為第一個惡意僵尸程序。

招數特點及斑斑劣跡

僵尸網絡在江湖中又為何如此臭名昭著?主要還是由于來勢洶洶，殺傷面積大。從2010年起，僵尸網絡開始迅速發展;2016年Mirai僵尸網絡對美國的電信服務商Dyn進行攻擊，導致美國1/3地區的人們無法連接到互聯網，此時僵尸網絡的影響力已逐步擴大;時間到了2018年，攻擊者利用upnp漏洞傳播的僵尸網絡，在短時間內就控制了10W多臺路由器，如果結合高放大倍數的反射攻擊，造成的損失將是無法估計的，遠遠超越2010年前的僵尸網絡所帶來的危害，短短8年間，僵尸網絡的時效及影響范圍已經達到了聳人聽聞的地步。諸如此類的攻擊不斷的升級，在這些高威脅來臨時，對防護類設備提出了新的考驗，也影響了威脅情報在網絡安全領域的發展方向及落地方式。

“江湖通緝令”

在國際上，工業界和政府部門非常關注僵尸網絡對因特網帶來的嚴重安全威脅，微軟公司在2004年發起了國際反僵尸網絡工作組，2006 年 6 月，美國陸軍研究辦公室 ARO、國防高級研究計劃署 DARPA和國土安全部 DHS 等 3 個部門聯合在 GA Tech 舉辦了僵尸網絡專門研討會，匯集學術界、政府部門和工業界的研究人員對這一安全威脅進行了深入探討，并匯總出版了《Botnet Detection: Countering the Largest Security Threat》。

2014年11月，受法國軍方支持，由民間組織建立了名為BotConf的僵尸網絡對抗技術論壇，匯聚了全世界研究僵尸網絡的安全研究人員，在此會議上發布了包括DGA算法的檢測手段等眾多研究成果。

2018年，由各大國際網絡安全廠商及電信服務商組成的CSDE理事會發布了《INTERNATIONAL ANTI-BOTNET GUIDE》，用以研討如何與僵尸網絡攻擊進行對抗。

“百曉生”的千里眼和順風耳

百曉生《兵器譜》的背后是千千萬萬個數據來源織就的恢恢法網，跟蹤與監測著黑客家族的一舉一動。在2018年綠盟科技伏影實驗室共監控到攻擊命令10萬余條，其中有效攻擊目標數量為40萬余次，相較去年(20萬余次)增長了66.4%，受影響的行業包括新聞、投資、影視、消費、云服務、游戲等，嚴重影響人們正常的工作生活。伏影實驗室依托綠盟威脅情報平臺，輸出了大量的僵尸網絡控制、攻擊信息，能夠協助終端設備快速定位威脅來源，迅速截斷惡意請求的流量，加大惡意流量的辨識效果，有效的提升了僵尸網絡的檢測率和阻斷率，保證各類業務正常運行。

伏影實驗室通過對Botnet的整體監控與分析，獲取了活躍攻擊方式、主要攻擊目標、主流攻擊手法等第一手情報，對關聯組織進行分析與畫像，進而實現對網絡攻擊的告警與預防乃至對黑產組織的定位與打擊。

江湖小貼士：

結合2018年度觀察結果，為了有效打擊Botnet，我們建議充分利用各機構、各部門現有的網絡資源進行協同治理。確定需要防御的資產以及可能暴露這些資產的攻擊面，從而更好地凈化網絡空間。