绿盟 2020 Botnet趋势报告

2020 BOTNET趋势报告绿盟科技威胁情报中心绿盟科技伏影实验室网络安全应急技术国家工程实验室 i g u th 5 b m o .c 关于绿盟科技绿盟科技集团股份有限公司（以下简称绿盟科技），成立于2000年4 月，总部位于北京。公司于2014年1月29日起在深圳证券交易所创业板上市，证券代码：300369。绿盟科技在国内设有40多个分支机构，为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国硅谷、日本东京、英国伦敦、新加坡设立海外子公司，深入开展全球业务，打造全球网络安全行业的中国品牌。关于CNCERT网络安全应急技术国家工程实验室 CNCERT网络安全应急技术国家工程实验室是于2013年由发改委批复成立的、由国家互联网应急中心（CNCERT）运营的国家级实验室。实验室致力于物联网及工控网安全领域的基础理论研究、关键技术研发与实验验证，开展物联网及工控网相关的安全监测、态势感知、信息通报与应急处置工作，向政府主管部门和行业用户提供威胁情报共享、态势信息通报等服务，为国家关键基础设施的建设和运行提供网络安全保障。版权声明 u th i g 为避免合作伙伴及客户数据泄露，所有数据在进行分析前都已经过匿名化处理，不会在中间环节出现泄露，任何与客户有关的具体信息，均不会出现在本报告中。 5 b m o .c 2020 BOTNET 趋势报告目录目录 CONTENTS CONTENTS 执行摘要. ......................................................................................................... 1 摘要………………………………………………………………………2 年度图谱——国内外僵尸网络威胁全景.......................................................... 3 漏洞利用状况分析............................................................................................................... 4 1.历史漏洞回顾……………………………………………………………4 典型攻击链.................................................................................................................... 8 1.1漏洞数量逐年显著增长…………………………………………………4 僵尸网络 DDoS 攻击活动分析.......................................................................................... 10 m o .c 年度重点家族盘点—物联网与跨平台僵尸网络家族..................................... 13 1.2漏洞数量逐年显著增长…………………………………………………5 新兴僵尸网络家族............................................................................................................. 14 1.2.1漏洞数量逐年显著增长……………………………………………………………8 Pink............................................................................................................................. 14 5 b Mozi............................................................................................................................. 15 1.2.2漏洞数量逐年显著增长……………………………………………………………9 Bigviktor..................................................................................................................... 17 u th GoBrut........................................................................................................................ 19 传统僵尸网络家族............................................................................................................. 22 i g Mirai............................................................................................................................ 22 2.漏洞利用情况……………………………………………………………4 Gafgyt.......................................................................................................................... 25 2.1典型漏洞攻击事件监测举例……………………………………………4 Dofloo......................................................................................................................... 27 年度重点家族盘点—PC 僵尸网络家族.......................................................... 31 2.2实际攻击中常用到Nday漏洞……………………………………………5 新兴邮件木马家族............................................................................................................. 32 AgentTesla.................................................................................................................. 32 MazeRansom.............................................................................................................. 34 BitRAT......................................................................................................................... 36 3.漏洞发展趋势……………………………………………………………4 COVID-19 与传统邮件僵尸网络家族................................................................................. 36 3.1浏览器漏洞种类复杂多样……………………………………………4 Emotet........................................................................................................................ 36 NetWire....................................................................................................................... 38 3.2文档类型漏洞是鱼叉攻击的重要载体……………………………………5 SmokeLoader............................................................................................................. 39 Trickbot....................................................................................................................... 40 I 2020 BOTNET 趋势报告目录 CONTENTS 高级威胁攻击——APT 事件.......................................................................... 44 2020 年 APT 组织活跃情况及其技术更新......................................................................... 45 MpSvc 侧载攻击：海莲花入侵新攻击方法 ................................................................ 45 MATA 跨平台新框架：Lazarus 的技术更新.......................................