- Botnet開(kāi)始向少數(shù)成熟且功能完善的家族集中,黑產(chǎn)團(tuán)伙傾向于使用穩(wěn)定的Botnet家族版本及C&C服務(wù)器;
- 控制者更多地將Botnet的C&C服務(wù)器部署在互聯(lián)網(wǎng)基礎(chǔ)設(shè)施發(fā)達(dá)的國(guó)家和地區(qū)��,借助這些區(qū)域低廉的部署費(fèi)用降低Botnet的維護(hù)成本;
- 我們觀察到���,價(jià)格低廉����、審核寬松的VPS(Virtual Private Server)降低了非組織黑產(chǎn)人員架設(shè)Botnet網(wǎng)絡(luò)的成本��;
網(wǎng)安江湖“百曉生”之所以揚(yáng)名立萬(wàn)��,就是因?yàn)樗那閳?bào)是從數(shù)據(jù)中提煉而來(lái)�����,從情報(bào)中感知威脅���,這也就是威脅情報(bào)的核心理念����。
“招數(shù)”源頭
僵尸網(wǎng)絡(luò)如此兇險(xiǎn)的招數(shù)究竟出自何門(mén)何派呢�����?僵尸網(wǎng)絡(luò)最早的歷史淵源可以追溯到 1993 年在 IRC 聊天網(wǎng)絡(luò)中出現(xiàn)的 Bot 工具——Eggdrop�����,它能夠自動(dòng)地執(zhí)行如權(quán)限管理�、記錄頻道事件等一系列功能,幫助 IRC 網(wǎng)絡(luò)管理員更方便地管理聊天網(wǎng)絡(luò)���。黑客受到這種工具的啟發(fā)����,1999 年 6 月���,在因特網(wǎng)上出現(xiàn)的 PrettyPark 首次使用了 IRC 協(xié)議構(gòu)建命令與控制信道����,從而成為第一個(gè)惡意僵尸程序�����。
招數(shù)特點(diǎn)及斑斑劣跡
僵尸網(wǎng)絡(luò)在江湖中又為何如此臭名昭著�����?主要還是由于來(lái)勢(shì)洶洶,殺傷面積大��。從2010年起�,僵尸網(wǎng)絡(luò)開(kāi)始迅速發(fā)展;2016年Mirai僵尸網(wǎng)絡(luò)對(duì)美國(guó)的電信服務(wù)商Dyn進(jìn)行攻擊���,導(dǎo)致美國(guó)1/3地區(qū)的人們無(wú)法連接到互聯(lián)網(wǎng)�,此時(shí)僵尸網(wǎng)絡(luò)的影響力已逐步擴(kuò)大�;時(shí)間到了2018年,攻擊者利用upnp漏洞傳播的僵尸網(wǎng)絡(luò)����,在短時(shí)間內(nèi)就控制了10W多臺(tái)路由器,如果結(jié)合高放大倍數(shù)的反射攻擊���,造成的損失將是無(wú)法估計(jì)的��,遠(yuǎn)遠(yuǎn)超越2010年前的僵尸網(wǎng)絡(luò)所帶來(lái)的危害���,短短8年間,僵尸網(wǎng)絡(luò)的時(shí)效及影響范圍已經(jīng)達(dá)到了聳人聽(tīng)聞的地步�����。諸如此類(lèi)的攻擊不斷的升級(jí),在這些高威脅來(lái)臨時(shí)�����,對(duì)防護(hù)類(lèi)設(shè)備提出了新的考驗(yàn)���,也影響了威脅情報(bào)在網(wǎng)絡(luò)安全領(lǐng)域的發(fā)展方向及落地方式。
“江湖通緝令”
在國(guó)際上��,工業(yè)界和政府部門(mén)非常關(guān)注僵尸網(wǎng)絡(luò)對(duì)因特網(wǎng)帶來(lái)的嚴(yán)重安全威脅�,微軟公司在2004年發(fā)起了國(guó)際反僵尸網(wǎng)絡(luò)工作組,2006 年 6 月��,美國(guó)陸軍研究辦公室 ARO����、國(guó)防高級(jí)研究計(jì)劃署 DARPA和國(guó)土安全部 DHS 等 3 個(gè)部門(mén)聯(lián)合在 GA Tech 舉辦了僵尸網(wǎng)絡(luò)專(zhuān)門(mén)研討會(huì),匯集學(xué)術(shù)界�����、政府部門(mén)和工業(yè)界的研究人員對(duì)這一安全威脅進(jìn)行了深入探討���,并匯總出版了《Botnet Detection: Countering the Largest Security Threat》�����。
2014年11月�����,受法國(guó)軍方支持���,由民間組織建立了名為BotConf的僵尸網(wǎng)絡(luò)對(duì)抗技術(shù)論壇��,匯聚了全世界研究僵尸網(wǎng)絡(luò)的安全研究人員���,在此會(huì)議上發(fā)布了包括DGA算法的檢測(cè)手段等眾多研究成果。
2018年�,由各大國(guó)際網(wǎng)絡(luò)安全廠商及電信服務(wù)商組成的CSDE理事會(huì)發(fā)布了《INTERNATIONAL ANTI-BOTNET GUIDE》,用以研討如何與僵尸網(wǎng)絡(luò)攻擊進(jìn)行對(duì)抗�����。
“百曉生”的千里眼和順風(fēng)耳
百曉生《兵器譜》的背后是千千萬(wàn)萬(wàn)個(gè)數(shù)據(jù)來(lái)源織就的恢恢法網(wǎng)�����,跟蹤與監(jiān)測(cè)著黑客家族的一舉一動(dòng)。在2018年綠盟科技伏影實(shí)驗(yàn)室共監(jiān)控到攻擊命令10萬(wàn)余條��,其中有效攻擊目標(biāo)數(shù)量為40萬(wàn)余次�,相較去年(20萬(wàn)余次)增長(zhǎng)了66.4%,受影響的行業(yè)包括新聞�����、投資�����、影視�����、消費(fèi)��、云服務(wù)�、游戲等��,嚴(yán)重影響人們正常的工作生活��。伏影實(shí)驗(yàn)室依托綠盟威脅情報(bào)平臺(tái)����,輸出了大量的僵尸網(wǎng)絡(luò)控制�����、攻擊信息�����,能夠協(xié)助終端設(shè)備快速定位威脅來(lái)源���,迅速截?cái)鄲阂庹?qǐng)求的流量,加大惡意流量的辨識(shí)效果����,有效的提升了僵尸網(wǎng)絡(luò)的檢測(cè)率和阻斷率,保證各類(lèi)業(yè)務(wù)正常運(yùn)行�����。
伏影實(shí)驗(yàn)室通過(guò)對(duì)Botnet的整體監(jiān)控與分析�����,獲取了活躍攻擊方式�、主要攻擊目標(biāo)�、主流攻擊手法等第一手情報(bào)��,對(duì)關(guān)聯(lián)組織進(jìn)行分析與畫(huà)像���,進(jìn)而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的告警與預(yù)防乃至對(duì)黑產(chǎn)組織的定位與打擊���。
江湖小貼士:
結(jié)合2018年度觀察結(jié)果,為了有效打擊Botnet��,我們建議充分利用各機(jī)構(gòu)����、各部門(mén)現(xiàn)有的網(wǎng)絡(luò)資源進(jìn)行協(xié)同治理�����。確定需要防御的資產(chǎn)以及可能暴露這些資產(chǎn)的攻擊面�����,從而更好地凈化網(wǎng)絡(luò)空間����。
完整版報(bào)告下載鏈接如下:
http://www.nsfocus.com.cn/upload/contents/2019/03/20190304155147_95404.pdf
