绿盟科技2022年度 BOTNET趋势报告 CONTENTS2022 年度 BOTNET趋势报告2关于绿盟科技 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于 2000 年 4 月，总部位于北京。公司于 2014 年 1 月 29 日在深圳证券交易所 创业板上市， 证券代码 ： 300369。 绿盟科技在国内设有 50 余个分支机构， 为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企 业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运 营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡及巴西圣保罗 设立海外子公司和办事处，深入开展全球业务，打造全球网络安全行业 的中国品牌。 研究目标包括 Botnet、APT 高级威胁，DDoS 对抗，WEB 对抗， 流行服务系统脆弱利用威胁、身份认证威胁，数字资产威胁，黑色产业 威胁及新兴威胁。通过掌控现网威胁来识别风险，缓解威胁伤害，为威 胁对抗提供决策支撑。 版权声明 为避免合作伙伴及客户数据泄露 , 所有数据在进行分析前都已经 过匿名化处理 , 不会在中间环节出现泄露 , 任何与客户有关的具体信息， 均不会出现在本报告中。 CONTENTS执行摘要 001 01 2022 年僵尸网络威胁全景 003 1.1 C&C变化与黑产需求正相关 004 1.2 DDoS 攻击的主要发起者仍为传统类家族 006 1.3 感染设备分布情况与政策执行息息相关 009 1.4 传播节点分布区域性集中 010 1.5 弱口令、漏洞利用仍是 IoT类僵尸网络主要入侵方式 011 1.6 新型漏洞利用的热度进一步增强 011 02 新型僵尸网络团伙 013 2.1 KekSec 014 2.2 L33T 016 2.3 Frosted 017 2.4 落叶飞花 017 2.5 8220 019 2.6 Jester 020 03 IoT 新型僵尸网络家族 021 3.1 boat 系列 023 3.2 YesKit 系列 0243.3 RapperBot 系列 025 3.4 Fbot 系列 026 3.5 Fodcha 系列 026 04 Windows 僵尸网络家族的攻防对抗 028 4.1 Orchard 029 4.2 Sysrv-K 030 4.3 Kraken 030 4.4 BlackMoon 031 05 未来展望——僵尸网络发展趋势预测 032001 执行摘要执行摘要 2022年，各黑产组织争相逐利及世界政治经济格局的不稳定性，导致网络攻击活动持续 激增。这些虚拟世界的冲突严重影响了网络安全，并对现实世界构成威胁。以 DDoS为主的 僵尸网络攻击所引发的安全事件屡见不鲜，并且开始向更多关键基础设施蔓延。无论是黑产 组织之间的攻伐，俄罗斯和乌克兰的网络战争，还是国内的健康宝攻击事件，都有僵尸网络 的参与。 伏影实验室研究发现，僵尸网络的运营策略和方式与之前相比出现较大变化。 僵尸网络团伙加大挖矿资源投入。受数字加密货币价格波动的影响，部分僵尸网络攻击 团伙通过加大僵尸网络控制范围扩展攻击业务，以维持其收益的稳定性。尽管收益下降，但 挖矿之利仍然是许多挖矿组织的主要收入来源，不断下跌的行情会令这些组织加大投入。 “KekSec 效应”凸显，各僵尸网络团伙加大自我宣传力度。僵尸网络攻击团伙频繁地利用 社交媒体进行宣传，吸引了更多“客户”购买或租赁僵尸网络。这种方式既可以提升团伙的 知名度，吸引更多的资源，支撑后续发展，也可以通过聚集效应隐藏其真实身份信息，实现 “KekSec 效应”。 隐匿性较强的社交媒体如 Telegram 已成为僵尸网络团伙活动的主要平台。由于该类社交 媒体隐匿性强，在达成交易的情况下更有利于隐藏攻击者的真实身份信息。越来越多的攻击 团伙通过此种途径进行僵尸网络相关的交易活动。 租赁服务仍是 DDoS攻击团伙主要盈利模 式。僵尸网络团伙的主要获利手段包括售卖木马、出租肉鸡、接单和 DDoS勒索等。越来越 多的僵尸网络团伙通过租售其所持有攻击资源获利。通过按月办卡，或提供带有相应接口工 具的方式进行交易，可在一定程度上实现攻击资源与攻击者真实身份信息隐匿，为溯源分析 带来了一定挑战。 伏影实验室认为，除运营策略和方式的变化外，僵尸网络运营者在木马的开发迭代、隐 匿行踪、混淆等方面进一步对僵尸网络进行升级迭代。 在开发迭代方面， Go语言是一种具有出色跨平台能力和交叉编译支持的编程语言，其在 僵尸网络构建编程中出色的性能表现深受攻击者喜爱。它的打包机制使文件和函数数量巨大， 对杀毒引擎的检测能力带来挑战，这种情况为僵尸网络家族的增长提供了便利条件。2022 年度 BOTNET趋势报告002在隐匿行踪方面，新型僵尸网络家族更加倾向于采用 CDN，ICMP 等隧道技术通信，这 种趋势与其它类型的木马类似。攻击者在通信隐匿性方面的努力一直没有松懈过。强隐匿性 是隧道通信的一大特点，其可在网络中建立一条安全的隧道，使得数据可以安全传输，难以 破解。攻击者的攻击行为在隧道的帮助下更加隐蔽，能更好地避开安全系统的检测，从而达 到保护信息安全的目的。在混淆迷惑方面，攻击者在构建新的僵尸网络家族时会使用已知家 族的部分代码。由于这类僵尸网络主要攻击 IoT设备，其能否被杀毒软件检测并不重要。通 过使用已知家族代码，可对杀毒软件引擎进行欺骗，使杀毒软件误以为其为已知恶意程序， 降低受害者方对其的重视程度与其被人工分析的概率。在应对 0day等重量级武器测试时， 攻击者也可以利用这种方式有效地隐藏自己，与构建 0检测的全新家族相比，这种方法更不 容易引人注意。 01 2022 年僵尸 网络威胁全景2022 年度 BOTNET趋势报告0041.1　C&C变化与黑产需求正相关 2022年，伏影实验室威胁监控平台 BotHunter 监测数据显示， Mirai、Gafgyt 等热门家 族的 C&C主要活跃时段在一个月左右；少数 C&C可以活跃两个月；只有数量极少的 C&C具 有两个月以上活跃度。特别地，虽然相比 Mirai、Gafgyt 等主流 IoT家族，xorddos 的cnc总 数较少，但其 cnc中活跃时间超过 3个月的却更多，具有更长的活跃周期。 Mirai、Gafgyt 和 Gh0st家族的代码均已开源，其使用者众多，而 XorDDoS 作为闭源家族，其 C&C受小范围 群体控制，是产生上述差异性的重要原因。 图1.1　部分热门僵尸网络家族 C&C月度变化图 Mirai、Gafgyt 等热门僵尸网络家族 C&C数量的上升期集中在 4~7月，并在 6~7月左右 达到峰值，之后开始下降； 9-11月期间， C&C数量变化相对平缓，无显著波动。其中， Mirai 作为当今热门的头号僵尸网络之一，其月度 C&C数量最多，每月 C&C高达 130个。这些变 化与黑产需求存在一定关系。