国产av天堂精品伊人影院久艹影院,超碰婷婷xxnx,亚洲一区二区三区欧美

Botnet趨勢報告「2025版」

關(guān)于綠盟科技

綠盟科技集團股份有限公司（以下簡稱綠盟科技），成立于2000年4月，總部位于北京。公司于2014年1月29日起在深圳證券交易所創(chuàng)業(yè)板上市，證券代碼：300369。綠盟科技在國內(nèi)設(shè)有40多個分支機構(gòu)，為政府、運營商、金融、能源、互聯(lián)網(wǎng)以及教育、醫(yī)療等行業(yè)用戶，提供全線網(wǎng)絡(luò)安全產(chǎn)品、全方位安全解決方案和體系化安全運營服務(wù)。公司在美國硅谷、日本東京、英國倫敦、新加坡設(shè)立海外子公司，深入開展全球業(yè)務(wù)，打造全球網(wǎng)絡(luò)安全行業(yè)的中國品牌。

關(guān)于伏影實驗室

專注于安全威脅監(jiān)測與對抗技術(shù)的研究，涵蓋APT高級威脅、Botnet、DDoS對抗、流行服務(wù)漏洞利用、黑灰產(chǎn)業(yè)鏈威脅及數(shù)字資產(chǎn)等新興領(lǐng)域。

研究目標(biāo)是掌握現(xiàn)有網(wǎng)絡(luò)威脅，識別并追蹤新型威脅，精準(zhǔn)溯源與反制威脅，降低風(fēng)險影響，為威脅對抗提供有力決策支持。

采用前沿技術(shù)探索與實戰(zhàn)對抗相結(jié)合的研究模式，協(xié)助國家單位破獲APT攻擊案件數(shù)起，全球率先發(fā)現(xiàn)8個新型APT攻擊組織，處置40多起涉我APT攻擊事件，為國家重大網(wǎng)絡(luò)安保做出突出貢獻。

版權(quán)聲明

本文中出現(xiàn)的任何文字敘述、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬綠盟科技所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護。任何個人、機構(gòu)未經(jīng)綠盟科技的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文的任何片斷。

執(zhí)行摘要

02

僵尸網(wǎng)絡(luò)發(fā)展趨勢 3

2.1大國網(wǎng)絡(luò)空間博弈的重要武器 4
2.2高級威脅攻擊的前置 10

03

僵尸網(wǎng)絡(luò)漏洞利用情況、傳播情況 14

3.1傳播方式分析 15
3.2感染范圍分析 17

僵尸網(wǎng)絡(luò)攻擊活動分析 19

4.1攻擊活動分析 20
4.2控制地址分析 22

05

僵尸網(wǎng)絡(luò)的發(fā)展與對抗 25

5.1僵尸網(wǎng)絡(luò)對抗愈加激烈 26
5.2新興家族層出不窮 32
5.3僵尸網(wǎng)絡(luò)團伙活躍頻繁 38

未來展望僵戶網(wǎng)絡(luò)發(fā)展趨勢預(yù)測 42

執(zhí)行摘要

2024年，全球遭遇了空前的動蕩與挑戰(zhàn)，國際政治格局深刻調(diào)整，全球經(jīng)濟形勢錯綜復(fù)雜，科技創(chuàng)新與社會文化激烈碰撞。在此背景下，網(wǎng)絡(luò)空間成為大國間“兵家必爭之地”，暗潮涌動。作為高級勢力重要工具的僵尸網(wǎng)絡(luò)被賦予了新的使命，有了新的用途。

僵尸網(wǎng)絡(luò)成為大國網(wǎng)絡(luò)空間博弈利器。近年來，在俄烏戰(zhàn)爭及巴以沖突等重大地緣事件中，均監(jiān)測到僵尸網(wǎng)絡(luò)發(fā)起過 DDoS 攻擊活動。僵尸網(wǎng)絡(luò)經(jīng)常被用來發(fā)起針對對手國家的高強度網(wǎng)絡(luò)攻擊，導(dǎo)致其關(guān)鍵基礎(chǔ)設(shè)施癱瘓；或是通過僵尸網(wǎng)絡(luò)操控輿論，進行惡意宣傳，以期達到分化敵對國家的目的；此外，攻擊者還利用僵尸網(wǎng)絡(luò)在特定時期發(fā)起網(wǎng)絡(luò)攻擊活動來表達政治立場以及參與陣營之爭，從而間接影響最終決策。

僵尸網(wǎng)絡(luò)威脅態(tài)勢日益嚴(yán)峻。2024年，僵尸網(wǎng)絡(luò)所控制的C&C數(shù)量及發(fā)起的攻擊活動次數(shù)再創(chuàng)新高，其中極大比例的攻擊活動針對國內(nèi)關(guān)鍵基礎(chǔ)設(shè)施；在眾多僵尸網(wǎng)絡(luò)家族中，Mirai家族最為活躍，Mozi木馬的傳播量持續(xù)保持高位；感染方式上，Linux/loT平臺漏洞入侵方式依然占據(jù)主導(dǎo)地位，Windows平臺各種新的社工手法層出不窮。

僵尸網(wǎng)絡(luò)成為高級威脅攻擊的“跳板”。APT或勒索團伙利用僵尸網(wǎng)絡(luò)節(jié)點收集目標(biāo)環(huán)境的情報信息，進而投遞后續(xù)攻擊組件；或者利用已獲取的立足點分發(fā)郵件，充當(dāng)代理，為后續(xù)攻擊做準(zhǔn)備；此外，一些惡意軟件集成了勒索、DDoS、竊密等多重功能，通過模塊化組件的形式下發(fā)，這些工具落入不同的組織便有了不同的用途。

僵尸網(wǎng)絡(luò)新家族展現(xiàn)出日益增強的對抗性。相較于Windows平臺，Linux/loT僵尸網(wǎng)絡(luò)文件側(cè)的對抗相對較弱，早期多以變形的UPX殼為主，但近年來攻擊者提高了文件側(cè)隱匿性的重視程度，逐漸引l入shc、KiteshieldPacker等殼技術(shù)來降低殺毒軟件的檢測率；流量層面，對抗依然激烈，攻擊者利用DGA、DOH、OpenNIC、幣安智能合約托管C&C 等技術(shù)手段來減少被檢測的概率，或是設(shè)計復(fù)雜的通信邏輯以避免被安全研究人員追蹤。此外，本年度攻擊者對ssh協(xié)議的關(guān)注度顯著提升，他們嘗試各種ssh利用技術(shù)，以求通過更高效的方式分發(fā)惡意軟件或竊取數(shù)據(jù)。

僵尸網(wǎng)絡(luò)新團伙相繼加入借助社交平臺進行宣傳的行列。xorbot與catddos等僵尸網(wǎng)絡(luò)家族的控制者，在其演進歷程中，逐漸學(xué)習(xí)了老牌僵尸網(wǎng)絡(luò)團伙的成熟策略，轉(zhuǎn)而利用社交平臺作為宣傳陣地，并通過諸如 Telegram 等隱私性較強的社交渠道來統(tǒng)一租賃或售賣他們所控制的資源。這一行為特征極大程度上印證了我們先前的預(yù)測。這些團伙在發(fā)展的早期階段通過社交媒體進行“帶貨”，以提高知名度，吸引投資或直接獲取收益，進而為后續(xù)的發(fā)展做鋪墊。

僵尸網(wǎng)絡(luò)發(fā)展趨勢

2.1大國網(wǎng)絡(luò)空間博弈的重要武器

近年來，僵尸網(wǎng)絡(luò)已演變?yōu)閲议g網(wǎng)絡(luò)空間對抗的重要武器。國家級背景的網(wǎng)絡(luò)攻擊團伙通過控制僵尸網(wǎng)絡(luò)對目標(biāo)國的關(guān)鍵基礎(chǔ)設(shè)施實施高強度的DDoS攻擊，造成其關(guān)鍵基礎(chǔ)設(shè)施的癱瘓；或是利用僵尸網(wǎng)絡(luò)散布謠言，試圖對敵對國家的內(nèi)部輿論施加影響，以達成政治目的；此外，攻擊者還將僵尸網(wǎng)絡(luò)的日?；\營作為數(shù)字化時代的關(guān)鍵戰(zhàn)略資源，在必要時刻利用這些僵尸網(wǎng)絡(luò)對特定領(lǐng)域進行有針對性的打壓。

2024年，我國首款3A游戲《黑神話：悟空》在上線初期遭遇大規(guī)模DDoS攻擊事件。其后，我國首個高性能開源AI大模型在發(fā)布當(dāng)天也遭到了持續(xù)的DDoS攻擊。此外，美國大選期間、法國逮捕Telegram 創(chuàng)始人等重大事件中，僵尸網(wǎng)絡(luò)多次針對關(guān)鍵基礎(chǔ)設(shè)施發(fā)起DDoS攻擊，以表達其立場。烏克蘭廣播電視系統(tǒng)也被僵尸網(wǎng)絡(luò)操控，節(jié)目內(nèi)容遭到篡改，引發(fā)嚴(yán)重的社會恐慌。

這些案例警示我們應(yīng)持續(xù)監(jiān)測僵尸網(wǎng)絡(luò)的感染、控制和攻擊活動，并采取措施治理大規(guī)模、分布式的僵尸網(wǎng)絡(luò)節(jié)點，以有效斬斷其危害鏈條。

2.1.1表達政治傾向，參與陣營之爭

僵尸網(wǎng)絡(luò)亦被民眾用以表達政治立場或在特定時期參與陣營之爭，相較于需要在現(xiàn)實世界中通過組織策劃游行的方式表達不滿，DDoS攻擊不受地域限制，可以快速并很容易地將相關(guān)目標(biāo)致癱來表達自己的不滿及訴求。

2024年11月6日（美東時間11月5日），美國舉行了第47屆總統(tǒng)及議會席位選舉。鑒于黨派對立、價值觀分歧等多重政治因素，全球各地的選舉活動歷來是網(wǎng)絡(luò)黑客攻擊的焦點。本次美國大選同樣未能幸免，不僅遭遇了網(wǎng)絡(luò)攻擊，而且攻擊的強度和頻率均達到了空前的水平。攻擊者借助Mirai等僵尸網(wǎng)絡(luò)家族發(fā)起攻擊，使用的攻擊基礎(chǔ)設(shè)施主要集中在北美和歐洲。

圖2.1攻擊時間節(jié)點

2024年8月24日凌晨，Telegram創(chuàng)始人Pavel Durov（帕維爾·杜洛夫）在巴黎布爾歇機場遭到逮捕，這一突發(fā)事件迅速引起了國際社會的廣泛關(guān)注。逮捕事件發(fā)生后的24小時內(nèi)，針對法國的 DDoS 攻擊強度急劇上升，攻擊規(guī)模達到了空前的水平。黑客團體認為 Telegram 創(chuàng)始人被捕侵犯了他們的言論自由的權(quán)利，這激起了他們的強烈不滿。包括 UserSeC、Cyber Dragon、ReconSploit、Evilweb、Rootspolit、CGPlnet和 RipperSec在內(nèi)的 38 個黑客組織，聯(lián)合發(fā)起了一系列DDoS攻擊，目標(biāo)直指法國的多個網(wǎng)站。這些攻擊導(dǎo)致了大量公共平臺網(wǎng)站的服務(wù)中斷。

圖2.2黑客組織部分攻擊目標(biāo)

DDoS攻擊逐漸演變?yōu)檎伪磉_手段，其影響是多方面的。首先，它可能對國際關(guān)系產(chǎn)生影響，加劇國家間的緊張關(guān)系。其次，它可能引發(fā)對網(wǎng)絡(luò)安全和數(shù)字主權(quán)的討論。最后，它也可能引起公眾對網(wǎng)絡(luò)空間作為政治表達平臺的關(guān)注和反思。

2.1.2操控輿論，惡意宣傳

僵尸網(wǎng)絡(luò)承擔(dān)起操控輿論，惡意宣傳的政治任務(wù)。別有用心者利用僵尸網(wǎng)絡(luò)劫持并篡改網(wǎng)頁及控制大屏播放設(shè)備來散布謠言，引發(fā)社會恐慌，進而實現(xiàn)其政治目的。

2024年2月中旬，綠盟科技伏影實驗室監(jiān)測到一個具有顯著政治傾向的僵尸網(wǎng)絡(luò)團伙。該團伙一方面通過構(gòu)建網(wǎng)頁的方式傳播“顛倒黑白”的政治言論，蓄意低毀我國形象。另一方面，該團伙還利用 Mirai僵尸網(wǎng)絡(luò)家族控制國內(nèi)資源，對美國發(fā)起攻擊活動。其目的在于制造對我方不利的輿論。

受害者分布

圖2.3受害者分布

近年來，具備流量劫持能力的僵尸網(wǎng)絡(luò)家族逐漸興起。2024年初，安全社區(qū)揭露了一個名為“Bigpanzi”的新型僵尸網(wǎng)絡(luò)家族。綠盟科技伏影實驗室對該家族進行了深入的追蹤與分析，研究結(jié)果表明，Bigpanzi 家族的威脅不僅限于廣為人知的 DDoS 攻擊，它還能夠利用受其控制的Android 電視或機頂盒傳播任意圖像和聲音信息。Bigpanzi家族所具備的這種攻擊能力使其具備的危險性進一步提升，對社會的穩(wěn)定構(gòu)成了嚴(yán)重威脅。此類攻擊在現(xiàn)實世界中已有許多實際案例，例如在2024年上半年，攻擊者篡改了烏克蘭自由頻道的節(jié)目內(nèi)容，播放了俄羅斯藝術(shù)家的歌曲和宣傳短片，以此進行輿論引導(dǎo)和造勢。

圖2.4衛(wèi)星電視攻擊事件

2.1.3緊跟時事熱點，精準(zhǔn)打擊

在眾多引人矚目的時事熱點事件背后，僵尸網(wǎng)絡(luò)的活動痕跡頻繁被發(fā)現(xiàn)。由于僵尸網(wǎng)絡(luò)發(fā)起攻擊具備較高隱蔽性、較強破壞力以及具備高度的針對性，其已成為高級勢力不可或缺的工具。利用僵尸網(wǎng)絡(luò)在關(guān)鍵時刻發(fā)起攻擊，打壓對方，已成為攻擊者慣用的手段。

2024年8月末，正值國內(nèi)一款風(fēng)靡全球的游戲《黑神話：悟空》發(fā)布并迅速走紅之際，其發(fā)行平臺Steam遭遇了全球范圍內(nèi)的服務(wù)器癱瘓事件。眾多玩家推測，服務(wù)器崩潰可能是由于《黑神話：悟空》的在線玩家數(shù)量過多。然而，完美世界官方隨后發(fā)表聲明稱“Steam正遭受DDoS攻擊”。綠盟科技伏影實驗室全球威脅狩獵系統(tǒng)監(jiān)測數(shù)據(jù)也證實了這一點，包括CatDDoS在內(nèi)的多個僵尸網(wǎng)絡(luò)家族參與了對《黑神話：悟空》的有組織、有計劃的DDoS攻擊活動。作為中國首款國產(chǎn)3A級單機游戲，《黑神話：悟空》不僅在全球范圍內(nèi)贏得了大量粉絲，也為中國游戲產(chǎn)業(yè)的突破性發(fā)展做出了貢獻，同時為全球玩家提供了一個了解中國文化的窗口。攻擊者對這款游戲的攻擊行為或是對國家層面對外文化輸出的一種打壓。

圖2.5Steam遭受DDoS公告

2024年7月，法國成為國際社會關(guān)注的焦點。在塞納河畔，備受矚目的巴黎奧運會隆重開幕，這一盛事吸引了國際社會的廣泛關(guān)注。然而，在榮耀的光環(huán)之下，巴黎也長期遭受DDoS攻擊的威脅。綠盟科技伏影實驗室的全球威脅狩獵系統(tǒng)監(jiān)測數(shù)據(jù)顯示，自奧運會開幕的那一刻起，法國便陷入了一場持續(xù)的DDoS攻擊風(fēng)暴。

圖2.6受攻擊區(qū)域占比

2024年6月 23日，“HackNeT”“HapoμHag CyberApMMg”等親俄黑客團體攻擊法國巴黎大皇宮、拉羅謝爾電影節(jié)等相關(guān)網(wǎng)站，他們宣稱此次攻擊活動為奧運前“演練”。8月3日，白俄羅斯選手在蹦床項目奪冠后出現(xiàn)了無法懸掛本國國旗的事件，黑客團體再次發(fā)起了 DDoS 攻擊，巧妙地利用 NTP、DNS、netAssistant 等攻擊手段進行反射放大攻擊。文化藝術(shù)、電信、教育行業(yè)成為主要的攻擊目標(biāo)。

2.1.4烏克蘭IT志愿軍長期持續(xù)發(fā)動網(wǎng)絡(luò)攻擊

近年來，現(xiàn)實世界的戰(zhàn)爭與網(wǎng)絡(luò)戰(zhàn)爭的相互配合的案例屢見不鮮。僵尸網(wǎng)絡(luò)逐漸演變?yōu)椤皵?shù)字化戰(zhàn)場”上的關(guān)鍵武器。

烏克蘭IT志愿軍于2022年2月26日成立，該組織由烏克蘭副總理兼數(shù)字化轉(zhuǎn)型部長米哈伊爾·費奧多羅夫領(lǐng)導(dǎo)，其核心任務(wù)是針對俄羅斯和白俄羅斯開展網(wǎng)絡(luò)情報活動。為了增強其影響力和提高行動效率，烏克蘭IT志愿軍通過其官方網(wǎng)站進行宣傳，該網(wǎng)站提供了適用于Windows、Linux以及Docker等多個版本的DDoS攻擊工具，并附有詳盡的安裝和使用指南，確保所有參與人員都能順利加入網(wǎng)絡(luò)攻擊行動。

烏克蘭IT志愿軍還創(chuàng)建了一個名為“iIT ARMY of Ukraine Chat”的Telegram 群組，用于提供技術(shù)指導(dǎo)和交流。通過這一社交平臺，網(wǎng)絡(luò)專家們能夠分享經(jīng)驗、解決技術(shù)難題，以及策劃和執(zhí)行網(wǎng)絡(luò)攻擊。2024年，由于 Telegram 創(chuàng)始人 Pavel Durov 在法國機場被拘留，烏克蘭 IT志愿軍出于安全性考慮將統(tǒng)戰(zhàn)中心轉(zhuǎn)移到 activeness.social(https://activeness.social)。

圖2.7IT軍隊官網(wǎng)

烏克蘭IT志愿軍通過Telegram 頻道持續(xù)發(fā)布戰(zhàn)果。2024年6月，他們對敵方銀行系統(tǒng)發(fā)起高強度的DDoS攻擊，導(dǎo)致其銀行業(yè)務(wù)中斷。并通過Telegram發(fā)布消息稱：“我們昨日所承諾的對敵方銀行系統(tǒng)的破壞并非空言。今日，更多的銀行及其卡支付系統(tǒng)“Mir’ 已經(jīng)中斷服務(wù)。VTB、Sberbank、Tinkoff、Alfa-Bank、Beeline、MTS、Rostelecom、Gazprombank、Megafon、SBP、NSPK、EIRC 以及其他眾多小型服務(wù)目前均無法正常運作?！?/p>

圖2.8ITARMYofUkraine發(fā)布消息

烏克蘭IT志愿軍發(fā)起的全民參與式網(wǎng)絡(luò)攻擊活動為獲取僵尸網(wǎng)絡(luò)控制節(jié)點（俗稱“肉雞”）開辟了新的思路。此外，這類威脅長期且持續(xù)，難以治理，這值得引起我們的警惕。

2.2高級威脅攻擊的前置

僵尸網(wǎng)絡(luò)與高級威脅的結(jié)合日益緊密。APT或勒索組織對其控制資源的利用效率不斷提升，他們充分挖掘僵尸網(wǎng)絡(luò)作為“哨兵”的價值，盡可能多地建立立足點，通過復(fù)用僵尸網(wǎng)絡(luò)的現(xiàn)有資源來進行后續(xù)攻擊活動，或是將僵尸網(wǎng)絡(luò)木馬利用到APT活動的后期滲透階段。在整個APT或勒索活動周期中，僵尸網(wǎng)絡(luò)扮演著不可或缺的角色。僵尸網(wǎng)絡(luò)在網(wǎng)絡(luò)安全威脅中扮演著至關(guān)重要的角色，其用途多樣且威脅巨大。網(wǎng)絡(luò)安全治理應(yīng)全面考慮各類威脅之間的復(fù)雜關(guān)系，采取有效措施應(yīng)對僵尸網(wǎng)絡(luò)帶來的安全挑戰(zhàn)。

2.2.1 情報收集

僵尸網(wǎng)絡(luò)常被利用于情報搜集活動。攻擊者通過僵尸網(wǎng)絡(luò)建立網(wǎng)絡(luò)內(nèi)部的立足點，并將搜集到的情報數(shù)據(jù)傳輸至控制端。隨后，攻擊者依據(jù)這些數(shù)據(jù)對網(wǎng)絡(luò)環(huán)境進行深入地分析與評估，以支撐其后續(xù)的攻擊策略。

Linux/loT平臺，極大部分僵尸網(wǎng)絡(luò)家族都具備信息收集能力，比如 Mirai，Gafgyt 等家族的多個變種會在其上線階段搜集受害者主機的相關(guān)信息，這些信息包括但不限于用戶名、主機名、IP地址、操作系統(tǒng)類型、中央處理器（CPU）及隨機存取存儲器（RAM）的使用率，以及CPU核心數(shù)量等。而xorddos和Perlbot等僵尸網(wǎng)絡(luò)則配備了特定指令集來進行系統(tǒng)數(shù)據(jù)的搜集。

圖2.9僵戶網(wǎng)絡(luò)收集信息詞云

Windows平臺同樣存在眾多具備信息搜集功能的僵尸網(wǎng)絡(luò)家族。以近年來活動極為頻繁的Pikabot家族為例，Pikabot在初始運行階段會搜集包括通用唯一識別碼（UUID）、操作系統(tǒng)版本、用戶名稱、計算機名稱、中央處理器（CPU）信息、圖形處理單元（GPU）信息以及安全軟件信息等在內(nèi)的受害者主機信息，并以JSON格式進行傳輸至控制端。此外，Kraken家族不僅搜集主機信息，還會實施加密貨幣錢包的竊取行為。

2.2.2 分發(fā)釣魚郵件

利用僵尸網(wǎng)絡(luò)分發(fā)釣魚郵件是攻擊者慣用手段。APT組織常將釣魚郵件作為整個攻擊活動的初始訪問組件，通過精心設(shè)計的誘餌文檔來吸引目標(biāo)群體的注意，誘使受害者啟動攻擊流程。在此過程中，僵尸網(wǎng)絡(luò)利用其已建立的立足點進行郵件分發(fā)，從而提升攻擊效率。

具備郵件分發(fā)功能的僵尸網(wǎng)絡(luò)不在少數(shù)，Phorpiex僵尸網(wǎng)絡(luò)通過盜取密碼轉(zhuǎn)儲文件，并利用這些信息發(fā)送電子郵件。木馬程序首先嘗試連接YahooSMTP服務(wù)器，然后啟動數(shù)以萬計的線程，從一個數(shù)據(jù)庫中發(fā)送大量垃圾郵件。Necurs僵尸網(wǎng)絡(luò)家族則推出了一款.NET郵件模塊，該模塊能夠發(fā)送電子郵件，并從 Internet Explorer、Chrome 和Firefox瀏覽器中竊取用戶憑證。攻擊者還能利用關(guān)鍵字匹配技術(shù)，篩選出他們感興趣的電子郵件地址。

圖2.10 Necurs 通過關(guān)鍵字“gov”匹配特定目標(biāo)

2.2.3投遞武器

僵尸網(wǎng)絡(luò)常被用作分發(fā)其他攻擊工具的重要媒介，攻擊者利用僵尸網(wǎng)絡(luò)已建立的立足點分發(fā)攻擊組件，以開展后續(xù)的惡意活動。惡意軟件之間相互作為傳播渠道的情況相當(dāng)普遍，Windows僵尸網(wǎng)絡(luò)家族通常扮演服務(wù)提供者的角色。例如，Emotet 曾被發(fā)現(xiàn)用于傳播 Nitol、IcedID、QakBot、AzoRult、Zeus Panda、UmbreCrypt 和Trickbot等多種惡意軟件家族；盡管Linux/loT平臺僵尸網(wǎng)絡(luò)之間相互作為渠道的現(xiàn)象并不顯著，但它們通常具備自我更新、下載和執(zhí)行命令等功能，這為它們提供了分發(fā)其他攻擊工具的基礎(chǔ)能力。

圖2.11Emotet投遞其他組件

2.2.4充當(dāng)代理

僵尸網(wǎng)絡(luò)亦可被用作代理服務(wù)器，攻擊者通過這些代理服務(wù)器更好地隱匿真實身份，繞過地域限制及防火墻規(guī)則，擴大攻擊范圍，以及提供更快速的數(shù)據(jù)傳輸，進而更隱秘地進行網(wǎng)絡(luò)釣魚、身份盜竊、傳播惡意軟件等后續(xù)活動。例如，Pink 僵尸網(wǎng)絡(luò)便提供了 Socks5代理服務(wù)，它通過接收來自控制端的指令，根據(jù)這些指令生成隨機的用戶名和密碼。為了實現(xiàn)Socks5代理功能，Pink僵尸網(wǎng)絡(luò)采用了libev庫，并對shadowsocks-libev 的代碼進行了簡化，從而實現(xiàn)了Socks5代理的核心功能。

2.2.5開源Rat備受APT團伙青睞

開源RAT因功能全面，效果好，成為APT或勒索團伙慣用攻擊組件，攻擊者經(jīng)常使用開源RAT完成信息搜集和遠程控制的目標(biāo)。研究表明，集竊密、勒索和DDoS等多重功能于一身的惡意軟件正在迅速增長。開源木馬DcRAT的1.0.0版本就是一個例證，它集成了勒索、DDoS和遠程控制等多種功能。

圖2.12DcRat

XWorm軟件的2.1版本同樣集成了分布式拒絕服務(wù)攻擊（DDoS）、勒索軟件功能以及遠程控制等功能。LimeRAT在2018年8月22日發(fā)布的v0.1.8.0版本中新增了DDoS攻擊功能，并且已經(jīng)集成了勒索軟件和遠程控制功能。

圖2.13Xworm

傳統(tǒng)認知中，已經(jīng)習(xí)慣于依據(jù)威脅的危害性將其劃分為僵尸網(wǎng)絡(luò)、APT或勒索軟件。然而，網(wǎng)絡(luò)安全是一個相互關(guān)聯(lián)的整體，牽一發(fā)而動全身。不同類型的網(wǎng)絡(luò)威脅之間存在著復(fù)雜關(guān)系。一方面，一次完整的網(wǎng)絡(luò)入侵事件往往涉及多種威脅的協(xié)同作用，僵尸網(wǎng)絡(luò)不僅可以為APT攻擊或勒索軟件活動收集情報，還能作為惡意軟件的傳播渠道；另一方面，一些惡意軟件集成了勒索、挖礦、遠程控制和分布式拒絕服務(wù)（DDoS）等多重功能。這類木馬通常采用插件化管理，客戶端以加載器的形式存在，這種設(shè)計使得客戶端體積較小，不會影響其傳播效率。當(dāng)這類多功能武器落入APT團伙手中時，他們可以部署竊密組件；而當(dāng)勒索組織使用這些惡意軟件時，他們則部署勒索組件。僵尸網(wǎng)絡(luò)團伙使用這類工具時，它便成了DDoS工具，其用途取決于使用者。

僵尸網(wǎng)絡(luò)
漏洞利用情況
傳播情況

2024年，Linux/loT平臺木馬依舊通過漏洞利用和弱口令進行傳播，而Windows平臺則主要依賴釣魚郵件和社會工程學(xué)手段入侵。

3.1傳播方式分析

Linux/loT僵尸網(wǎng)絡(luò)仍然使用漏洞和弱口令進行傳播。綠盟科技伏影實驗室的全球威脅狩獵系統(tǒng)監(jiān)測數(shù)據(jù)顯示，這些木馬所攜帶的漏洞年代較為久遠，CVE-2017-17215和CVE-2014-8361等漏洞的使用頻率依然居高不下，這從側(cè)面反映了loT設(shè)備安全建設(shè)的滯后性。即便攻擊者利用的是極為陳舊的漏洞，仍能輕易地突破防御。

圖3.1漏洞匯總

此外，攻擊者傾向于使用獨立的傳播模塊。他們將漏洞利用及掃描模塊與木馬分離，這能有效保護關(guān)鍵信息不被泄露。例如，新興的僵尸網(wǎng)絡(luò)家族Mirai.Nomi就配備了獨立的漏洞掃描器，傳統(tǒng)型僵尸網(wǎng)絡(luò)家族XORDDOS則擁有獨立的ssh掃描模塊，連使用的弱口令都未對外暴露。

圖3.2XORDDOS控制端

釣魚郵件成為 windows 僵尸網(wǎng)絡(luò)傳播的主要途徑。相較于Linux/loT平臺，Windows平臺的安全性建設(shè)通常更為成熟，攻擊者試圖利用已知的老舊漏洞進行入侵的成功率并不高。然而，由于Windows平臺用戶基數(shù)龐大，用戶與設(shè)備之間交互頻繁，攻擊者以此為契機利用社會工程學(xué)從人的行為上尋找突破口。攻擊者或是通過發(fā)送誘餌郵件誘導(dǎo)用戶點擊，或是制作外掛及盜版軟件誘導(dǎo)用戶下載，又或者通過微信、QQ等社交平臺傳播惡意文件。

Windows平臺最活躍的網(wǎng)絡(luò)攻擊組織“銀狐”便是典型的案例。攻擊者通過一系列精心設(shè)計的誘餌策略，如偽造郵件、社交應(yīng)用陷阱以及模擬合法網(wǎng)站的釣魚站點，散布GhOst變種，旨在滲透用戶設(shè)備，實現(xiàn)對目標(biāo)系統(tǒng)的遠程操縱與數(shù)據(jù)非法獲取。

圖3.3銀狐主要傳播路徑

銀狐的攻擊方式大多是在微信或QQ群里面散播破解軟件、釣魚文件，進而釋放和運行遠控木馬，接著控制操作失陷主機上的微信、qq 等，在每一個群發(fā)一遍釣魚文件繼續(xù)控制其他主機，持續(xù)循環(huán)。此外，“銀狐”還構(gòu)建了多個釣魚站點，巧妙地將木馬藏匿于各類流行軟件的安裝包中，誘使用戶主動下載并安裝。甚至于不惜投入，通過購買搜索引擎廣告位，提升釣魚網(wǎng)站的曝光度與可信度，以此提高用戶的點擊率與感染風(fēng)險。

3.2感染范圍分析

美國境內(nèi)存在大量僵尸網(wǎng)絡(luò)受控端。從受感染設(shè)備的地理分布進行分析，美國境內(nèi)的受感染設(shè)備數(shù)量居于首位，占比達到 45% 。印度、俄羅斯和巴西依次位列其后，占比分別為18% 1 14% 和 8% 。美國作為僵尸網(wǎng)絡(luò)的“毒窟”，其境內(nèi)不僅控制著全球數(shù)量最多的僵尸網(wǎng)絡(luò)C&C基礎(chǔ)設(shè)施，同時也深受僵尸網(wǎng)絡(luò)的侵襲，存在著大量受感染設(shè)備。

圖3.4受感染設(shè)備分布

經(jīng)濟發(fā)達地區(qū)易成為僵尸網(wǎng)絡(luò)傳播重災(zāi)區(qū)。2024年，綠盟科技的伏影實驗室全球威脅狩獵系統(tǒng)累計監(jiān)測到逾17萬個惡意軟件下馬地址，這些地址遍布80多個國家。惡意軟件傳播的地理位置分布顯示，印度存在較多的站點被攻陷并用于傳播惡意軟件，下馬地址中 19% 位于印度。

圖3.5下馬地址分布

在國內(nèi)，下馬地址數(shù)量排名前五的省份依次是：河南省、山西省、湖南省、山東省和遼寧省。

圖3.6下馬地址國內(nèi)分布

地域性差異主要受當(dāng)?shù)亟?jīng)濟發(fā)展?fàn)顩r、互聯(lián)網(wǎng)發(fā)展成熟度以及法制監(jiān)管力度的多重因素影響。在互聯(lián)網(wǎng)發(fā)展更為成熟的地區(qū)，網(wǎng)絡(luò)接入設(shè)備數(shù)量較多，相應(yīng)的安全風(fēng)險也較大，導(dǎo)致受感染設(shè)備數(shù)量增多；而在法制監(jiān)管更為嚴(yán)格的地區(qū)，治理效果更佳，受感染設(shè)備數(shù)量則相對較少；經(jīng)濟發(fā)展較好的省則有更多資金投入到安全防護上，以此有效提高防治效果。

僵尸網(wǎng)絡(luò)攻擊活動分析

2024年，綠盟科技伏影實驗室全球威脅狩獵系統(tǒng)監(jiān)測數(shù)據(jù)顯示，Mirai僵戶網(wǎng)絡(luò)控制的C&C服務(wù)器數(shù)量最多，且其攻擊活動最為頻繁；Mozi僵尸網(wǎng)絡(luò)惡意樣本傳播量仍居高不下，盡管其控制者已被執(zhí)法機構(gòu)逮捕，但p2p 網(wǎng)絡(luò)結(jié)構(gòu)的穩(wěn)定性導(dǎo)致其仍在傳播。僵尸網(wǎng)絡(luò)傾向于使用UDPFLOOD發(fā)起攻擊，眾多自命名的攻擊手段本質(zhì)上屬于UDP類型的泛洪攻擊。國內(nèi)是遭受僵尸網(wǎng)絡(luò)攻擊最嚴(yán)重的國家，而僵尸網(wǎng)絡(luò)的控制端大多位于境外，其中美國最多。僵尸網(wǎng)絡(luò)攻擊日益猖獗，因此需要高度重視治理，優(yōu)先治理影響范圍大、攻擊頻繁且對我方有嚴(yán)重危害的僵尸網(wǎng)絡(luò)。

4.1攻擊活動分析

Mirai攻擊活動最為頻繁。2024年度，綠盟科技伏影實驗室全球威脅狩獵系統(tǒng)累計監(jiān)測到逾百萬條攻擊指令。在攻擊指令家族分布方面，Mirai及其變種家族占據(jù)主導(dǎo)地位，下發(fā)指令數(shù)量占總監(jiān)測數(shù)的 68% ，XORDDOS家族位居次席，占比 23% ，hailbot 家族和 Gafgyt 家族分別占 5% 和 2% 。

分析月度數(shù)據(jù)分布，9月份攻擊指令數(shù)量達到峰值，當(dāng)月累計下發(fā)超過五十萬條攻擊指令。此數(shù)量激增主要由于傳統(tǒng)惡意軟件家族XORDDOS與新興 Mirai變種gorillabot 在該月的異常活躍所致。

圖4.1各月下發(fā)指令數(shù)

圖4.2各家族下發(fā)指令數(shù)

中國是遭受DDoS攻擊最多的國家。綠盟科技伏影實驗室的全球威脅狩獵系統(tǒng)監(jiān)測數(shù)據(jù)顯示，全球近120個國家遭受了由僵尸網(wǎng)絡(luò)發(fā)起的分布式拒絕服務(wù)（DDoS）攻擊。在這些國家中，中國遭受的攻擊最為嚴(yán)重，占所有攻擊活動的 34% ，其次是美國 (17%) 、加拿大（ \left(10%\right) 和德國 (4%) ）。國內(nèi)遭受攻擊最為嚴(yán)重的前五個省依次為：山東省、香港特別行政區(qū)、湖北省、浙江省和江蘇省。國內(nèi)遭受網(wǎng)絡(luò)攻擊的情況日益嚴(yán)峻，加強對關(guān)鍵基礎(chǔ)設(shè)施的防護迫在眉睫。

圖4.3攻擊目標(biāo)分布

圖4.4國內(nèi)受害者分布

僵尸網(wǎng)絡(luò)傾向于使用UDPFLOOD發(fā)起攻擊。從攻擊指令類型的角度分析，SYNFLOOD和UDPFLOOD攻擊最為普遍。大量僵尸網(wǎng)絡(luò)木馬新家族DDoS功能的實現(xiàn)借鑒了既有的攻擊代碼，眾多自命名的攻擊手段本質(zhì)上屬于UDP類型的泛洪攻擊?？紤]到“肉雞”資源的有限性，UDP協(xié)議能夠產(chǎn)生相對較高的攻擊流量，因此，此類攻擊備受僵尸網(wǎng)絡(luò)青睞。

圖4.5攻擊方式占比

4.2控制地址分析

Mozi傳播量最多，Mirai控制C&C數(shù)量最多。依據(jù)綠盟科技伏影實驗室的全球威脅狩獵系統(tǒng)監(jiān)測數(shù)據(jù)，從僵尸網(wǎng)絡(luò)月度新增C&C數(shù)量分布來看，2024年5月份新增的C&C總數(shù)量最少，而年底則達到最多。從家族層面分析，Mozi僵尸網(wǎng)絡(luò)家族的惡意樣本傳播量一直居高不下，盡管其控制者已被執(zhí)法機構(gòu)逮捕，并未實際發(fā)起過任何攻擊活動，但p2p 網(wǎng)絡(luò)結(jié)構(gòu)的穩(wěn)定性導(dǎo)致其仍在傳播。Mirai僵尸網(wǎng)絡(luò)家族持續(xù)構(gòu)成最高威脅，其控制的C&C服務(wù)器數(shù)量在所有僵尸網(wǎng)絡(luò)中居于首位。此外，源自Mirai源碼的新型僵尸網(wǎng)絡(luò)家族hailbot和Miori家族的C&C服務(wù)器數(shù)量也呈現(xiàn)出顯著的增長趨勢。這也從側(cè)面反映了越來越多的“腳本小子”懷揣著“一夜暴富”的夢想加入僵尸網(wǎng)絡(luò)開發(fā)與運營行列，通過低門檻、低成本的開源代碼來構(gòu)建僵尸網(wǎng)絡(luò)。

圖4.6C&C月度分布

圖4.7各家族C&C數(shù)量

僵尸網(wǎng)絡(luò)控制C&C主要集中在美國。2024年，綠盟科技的伏影實驗室全球威脅狩獵系統(tǒng)捕獲了超過5000個活躍C&C。從地理分布分析，美國控制的C&C服務(wù)器數(shù)量最多，占總數(shù)的15% ，緊隨其后的是荷蘭（ .13%) ）、印度（ .10% ）和俄羅斯（ .10% ）。美國境內(nèi)存在大量的僵尸網(wǎng)絡(luò)團伙，且疏于監(jiān)管，這導(dǎo)致其控制的C&C數(shù)量逐年攀升，對全球網(wǎng)絡(luò)空間安全造成極大威脅。

圖4.8C&C所在區(qū)域

上述5000余C&C（命令與控制）分布于400多家運營商／云服務(wù)商，其中BharatSanchar Nigam Ltd、LeaseWeb Netherlands B.V 和 Hetzner Online GmbH 的數(shù)量最多。這些海外云服務(wù)提供商允許用戶匿名注冊，這為攻擊者隱藏身份并規(guī)避法律法規(guī)風(fēng)險提供了便利。以下是前10名的分布情況：

圖4.9C&C所屬運營商/云服務(wù)商

僵尸網(wǎng)絡(luò)的發(fā)展與對抗

2024年，僵尸網(wǎng)絡(luò)新家族層出不窮。Mirai類老牌僵尸網(wǎng)絡(luò)不斷衍生出新的變種家族；Tbot等家族相繼采用高效的“分組管理”策略；gorillabot單在9月份單月就下發(fā)了超過30萬條攻擊指令。僵尸團伙活動日益頻繁，團伙化趨勢愈加明顯，xorbot和catddos等僵尸網(wǎng)絡(luò)家族的控制者在演進過程中，逐漸利用社交平臺作為宣傳陣地。

僵尸網(wǎng)絡(luò)攻防對抗日益激烈，流量側(cè)引I入OpenNIC、DoH和DGA等技術(shù)手段，試圖繞過常規(guī)流量監(jiān)測設(shè)備；文件側(cè)引入新的殼技術(shù)，不斷嘗試新的對抗殺軟的方式。這對治理提出了新的挑戰(zhàn)，及時發(fā)現(xiàn)僵尸網(wǎng)絡(luò)引入的新對抗技術(shù)并采取相應(yīng)的應(yīng)對策略顯得尤為重要。

5.1僵戶網(wǎng)絡(luò)對抗愈加激烈

5.1.1殼保護升級-Botnet的新“馬甲”

近年來，Linux/loT平臺惡意軟件呈現(xiàn)快速發(fā)展趨勢。然而，與Windows平臺相比，Linux/loT木馬在文件側(cè)的對抗策略尚顯不成熟，大多數(shù)Linux/loT木馬采用的文件加殼保護技術(shù)主要依賴于經(jīng)過變形處理的UPX 殼。隨著網(wǎng)絡(luò)安全攻防技術(shù)的持續(xù)演進，Linux/loT 僵尸網(wǎng)絡(luò)逐漸加大文件側(cè)對抗力度，開始引入 shc 以及 Kiteshield Packer 等保護殼技術(shù)?？梢灶A(yù)見，Linux平臺惡意軟件將發(fā)展出更多樣化的對抗手段和殼技術(shù)。

圖5.1Linux/loTBotnet常用殼

2024年，綠盟科技伏影實驗室監(jiān)測到一批利用shc保護殼的木馬文件大規(guī)模傳播，經(jīng)過詳細分析，該木馬隸屬于已知的僵尸網(wǎng)絡(luò)家族Perlbot的新變種。shc工具能夠?qū)hell腳本編譯成二進制文件，而目前的病毒檢測引擎在識別shc加密腳本方面存在明顯的不足。長期以來，shc打包技術(shù)在挖礦程序和后門程序中廣泛使用，但在僵尸網(wǎng)絡(luò)中卻鮮有出現(xiàn)。由于其腳本性質(zhì)，攻擊者可以以極低成本對原始文件進行修改，且打包后的文件體積不會增加太多，Perlbot的原始腳本文件大小約為60KB，而使用shc打包后的大小為 80KB，這保證了木馬的傳播效率不受影響。shc的易用性和高隱蔽性會導(dǎo)致此類僵尸網(wǎng)絡(luò)日益增多。

同年，一種名為KiteshieldPacker的加殼工具開始流行。目前，殺毒引擎對這種殼的檢測率非常低。KiteshieldPacker通過多層加密技術(shù)來封裝ELF二進制文件，并運用了反調(diào)試、字符串混淆、XOR加密、RC4加密等多種防御手段，這大大提高了分析其打包的二進制文件的難度。監(jiān)測數(shù)據(jù)顯示，已有多個組織開始利用Kiteshield實現(xiàn)惡意軟件的免殺功能，APT組織 winnti使用的攻擊組件中的userland rootkit，暗蚊組織使用的Dropper木馬，以及傳統(tǒng)的僵尸網(wǎng)絡(luò)家族Gafgyt，都開始采用這種殼技術(shù)。

5.1.2利用DGA逃避檢測

相較于文件側(cè)，Linux/loT平臺木馬在流量側(cè)的對抗更為激烈。Mirai家族雖然存在眾多變種，但極少出現(xiàn)使用DGA（域名生成算法）變種。然而在2024年，安全社區(qū)披露了一個通過引l入了DGA算法來規(guī)避檢測的名為Mirai_nomi的變種家族。

采用DGA算法的木馬能夠生成大量備選域名，并進行查詢。攻擊者和惡意軟件運行相同的DGA算法，生成相同的備選域名列表。在需要發(fā)動攻擊時，攻擊者會選擇其中少量域名進行注冊，從而建立通信。此外，攻擊者還可以應(yīng)用速變IP技術(shù)，快速變換IP地址，使得域名和IP地址都能迅速變化。

Mirai_nomi使用了基于時間的DGA，并加入了驗證機制。該木馬沒有采用常見的通過轉(zhuǎn)換系統(tǒng)時間的方法來獲取時間，而是通過網(wǎng)絡(luò)時間協(xié)議（NTP）來獲取時間。樣本中硬編碼了多個公共的NTPIP地址，獲取NTP返回字段中的參考時間戳后，會將時間戳與特定數(shù)字進行整除運算。最終生成的每個域名由兩部分組成。

圖5.2生成域名的構(gòu)成

5.1.3獨特的反追蹤思路

2024年，由綠盟科技伏影實驗室獨家對外公開披露的新興僵尸網(wǎng)絡(luò)家族xorbot不斷更新其版本并引入新功能，已經(jīng)發(fā)生了顯著的變化，其背后的操控者也開始積極地展開營利性運營活動，通過Telegram等強隱匿性社交平臺公開宣傳提供DDoS攻擊租賃服務(wù)。

Xorbot木馬具備顯著的反追蹤特性，其上線過程采取了被動方式。即在與控制端建立連接后，它不會立即發(fā)送上線包，而是選擇等待，直到接收到控制端發(fā)送的數(shù)據(jù)。這些數(shù)據(jù)是隨機生成的，每次連接時的內(nèi)容都獨一無二。隨后，客戶端會將隨機字符串以及受害主機的系統(tǒng)架構(gòu)等信息一并回傳給服務(wù)器端。Xorbot的這種設(shè)計機制加強了木馬的隱匿性，同時也在一定程度上對憑借流量特征中固定的字符特征來識別并捕獲木馬新增C&C的方案造成一定困擾。并且在C&C停止下發(fā)數(shù)據(jù)時，通過沙箱環(huán)境無法獲取完整通信記錄。這導(dǎo)致Xorbot木馬在一定程度上具備了反追蹤的特性。

圖5.3Xorbot被動上線

5.1.4通過DOH增強隱匿性

2024年，安全社區(qū)披露了一個名為Zergeca 的新型僵尸網(wǎng)絡(luò)家族，綠盟科技伏影實驗室對其展開跟蹤分析。該家族支持多種域名系統(tǒng)（DNS）解析機制，且采用了DNS overHTTPS（DOH）技術(shù)。這顯著提升了其通信的隱蔽性。DNS over HTTPS（DOH）是一種將DNS查詢加密并利用HTTPS協(xié)議進行傳輸?shù)募夹g(shù)。采用DNS oVerHTTPS（DOH）通信技術(shù)具有顯著的優(yōu)勢。首先，DOH利用HTTPS協(xié)議對DNS查詢流量進行加密，有效防范了傳統(tǒng)DNS查詢中可能出現(xiàn)的信息泄露、篡改及劫持等安全風(fēng)險；其次，DOH有效解決了DNS劫持問題，由于DNS查詢的加密特性，第三方難以輕易獲取用戶的瀏覽歷史等隱私數(shù)據(jù)；此外，DOH能夠規(guī)避特定網(wǎng)絡(luò)過濾和劫持，提供更為穩(wěn)定和可靠的DNS查詢服務(wù)；DOH還可借助內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）等技術(shù)，提升DNS解析的效率，從而優(yōu)化網(wǎng)絡(luò)連接速度。

圖5.4DOH通信特點

5.1.5利用幣安智能合約托管C&C

2024 年，安全社區(qū)披露了一個名為 Smargaft 的新型僵尸網(wǎng)絡(luò)家族。該僵尸網(wǎng)絡(luò)家族通過濫用幣安智能合約托管C&C，木馬程序利用JSON格式的數(shù)據(jù)與控制端進行交互，使用了一種無需支付費用的方式（eth_call），通過特定的合約地址調(diào)用合約方法來獲取最新的C&C。并在通過智能合約獲取C&C指令時使用了“l(fā)atest”字段。由于“l(fā)atest”總是引用區(qū)塊中的最新狀態(tài)，這種做法能夠有效地規(guī)避基于loC（指標(biāo)與簽名）檢測的流量分析設(shè)備。

圖5.5通過幣安智能合約獲取C&C

幣安智能鏈?zhǔn)怯蓭虐玻˙inance）開發(fā)和維護的一個區(qū)塊鏈平臺，功能與以太坊(Ethereum）有所類似卻獨具特色。智能合約，作為這一平臺的核心組件，實質(zhì)上是部署于區(qū)塊鏈之上的自動化執(zhí)行協(xié)議或程序腳本。它們通過預(yù)設(shè)的代碼邏輯，能夠在滿足特定條件時自動履行操作或合同條款，無需任何第三方介入，從而確保了交易與互動的信賴度。能夠保證所有操作均被永久記錄，無法被悄無聲息地修改或抹去。這些特性可以保證木馬能夠穩(wěn)定并隱秘地長期獲取新的C&C。

5.1.6挖掘ssh新用法

2024年，僵尸網(wǎng)絡(luò)團伙、黑灰產(chǎn)以及眾多腳本小子都再度對ssh表現(xiàn)出了濃厚的興趣，試圖探索其新的應(yīng)用模式，并嘗試?yán)?ssh 建立隧道，以投遞惡意樣本或竊取敏感信息。微軟已經(jīng)為Windows系統(tǒng)增加了對ssh的支持，ssh用戶群體極為龐大，使得其潛在的暴露面進一步增加?；趕sh服務(wù)，用戶可以實現(xiàn)端口轉(zhuǎn)發(fā)、跳板登錄以及建立socks代理等多種功能。例如，ssh的-J參數(shù)允許用戶指定跳板機，這相當(dāng)于內(nèi)置了端口轉(zhuǎn)發(fā)功能。-」參數(shù)還支持指定多個跳板機。

ssh 木馬種類繁多，最常見的有通過將 ssh 公鑰寫入到目標(biāo)機器的 authorized_keys 文件中實現(xiàn)免密碼登錄，或者通過 strace 捕獲 ssh 登錄密碼反饋至服務(wù)端；更有部分攻擊者通過魔改開源ssh工具的登錄驗證流程將公鑰硬編碼于登錄認證代碼的方式預(yù)留后門；此外，通過 ssh投遞惡意樣本的攻擊案例也頻繁出現(xiàn)，除了常見的 ssh掃描，攻擊者還利用 ssh結(jié)合一些選項和本地命令，連接到遠程服務(wù)器傳輸并執(zhí)行惡意文件。

圖5.6利用ssh傳播Gh0st木馬

5.1.7利用QEMU作為隧道工具

2024年初，安全社區(qū)披露了一起攻擊者利用QEMU作為隧道工具進行內(nèi)網(wǎng)穿透的攻擊活動。QEMU是一種開源的計算機仿真器和虛擬器，可以在不同的架構(gòu)上運行任意操作系統(tǒng)或程序，它還支持虛擬機之間的連接（通過-netdev等選項）。本次攻擊活動中，攻擊者在C&C服務(wù)器上啟動一個QEMU作為服務(wù)端監(jiān)聽特定端口，接著在受感染設(shè)備上再啟動一個QEMU 作為客戶端，并通過特定的命令連接到服務(wù)端所監(jiān)聽的端口上。啟動后，QEMU 會在服務(wù)端和受感染設(shè)備之間建立一條隧道，攻擊者便可以在此基礎(chǔ)上對受感染設(shè)備所在網(wǎng)絡(luò)內(nèi)的其它子網(wǎng)發(fā)起攻擊，進而有效繞過防火墻等設(shè)備的攔截。此外，由于攻擊者在運行QEMU時既不使用磁盤映像也不使用LiveCD，它對受感染系統(tǒng)的性能幾乎沒有影響。

圖5.7通過QEMU建立隧道

攻擊者在攻擊活動中通過對合法工具的巧妙應(yīng)用達成目標(biāo)，這在有效逃避檢測的同時將惡意軟件的開發(fā)成本降至最低。此外，網(wǎng)絡(luò)掃描、竊取數(shù)據(jù)、遠程文件執(zhí)行等功能都可以借助合法軟件來完成，這值得引起我們的警惕。

5.1.8利用反病毒廠商內(nèi)核驅(qū)動終止殺軟

2024年5月份，安全社區(qū)監(jiān)測到名為“匿鏟”的挖礦木馬活動頻繁，綠盟科技伏影實驗室隨即對相關(guān)事件進行了跟蹤分析。本次攻擊活動所使用的一項對抗技術(shù)引起了我們的注意，攻擊者濫用反病毒軟件的舊版本內(nèi)核驅(qū)動程序中的功能來結(jié)束反病毒軟件和EDR。整套攻擊流程中攻擊者先通過一段PowerShell代碼來下載并安裝反病毒軟件的舊版本內(nèi)核驅(qū)動程序;接著，攻擊者使用另一個PowerShell腳本解密并內(nèi)存加載控制器，控制器用來控制內(nèi)核驅(qū)動程序。盡管那些被濫用的舊版內(nèi)核驅(qū)動程序已經(jīng)得到了更新，但它們目前仍有可能被非法利用，從而有效地繞過大多數(shù)反病毒軟件的防護。

圖5.8終止殺軟

5.1.9引I入OpenNIC域名

近年來，非傳統(tǒng)類DNS 解析方式OpenNIC正在逐漸興起，RapperBot、CatDDoS、hailbot 等多個僵尸網(wǎng)絡(luò)家族相繼引I入這一技術(shù)。OpenNIC 是獨立于ICANN 的另一套域名體系，其域名無法通過常見的DNS（如8.8.8.8、114.114.114.114）解析，必須使用指定的NameServer。僵尸網(wǎng)絡(luò)木馬通過引入OpenNIC域名進而減小了被監(jiān)測和接管的可能性，與此同時，OpenNIC域名解析上也存在效率或穩(wěn)定性等問題。OpenNIC域名支持的TLDs 如下：

圖5.9OpenNIC域名支持的TLDs

5.1.10利用STUN協(xié)議獲取公網(wǎng)地址

RapperBot等僵尸網(wǎng)絡(luò)家族引I入STUN協(xié)議以獲取肉雞公網(wǎng)地址和端口信息。STUN協(xié)議是一種輕量級的網(wǎng)絡(luò)協(xié)議，基于UDP，它允許應(yīng)用程序發(fā)現(xiàn)它們與公共互聯(lián)網(wǎng)之間存在的NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）和防火墻等，并確定NAT分配給它們的公網(wǎng)IP地址和端口號。在僵尸網(wǎng)絡(luò)中，攻擊者利用STUN協(xié)議這一特性，向STUN服務(wù)器發(fā)送請求，從而獲取被感染的肉雞設(shè)備的公網(wǎng)地址和端口信息。這些信息對于攻擊者來說至關(guān)重要，因為它們可以利用這些信息進行更精準(zhǔn)的攻擊。

圖5.10通過STUN協(xié)議獲取公網(wǎng)IP

5.2.新興家族層出不窮

5.2.1大家庭持續(xù)增添新成員

2024年，綠盟科技伏影實驗室監(jiān)測到多個基于Mirai源代碼二次魔改而來的新型僵尸網(wǎng)絡(luò)家族。這些家族或是對Mirai的通信協(xié)議進行了修改，或新增了特定功能，亦或構(gòu)建了獨立于Mirai原有指令解析邏輯之外的新控制指令格式。Mirai家族每年都會衍生出大量新變種，其中大多數(shù)呈現(xiàn)曇花一現(xiàn)的趨勢，然而，亦有部分變種持續(xù)活躍，并在不引人注目的情況下逐漸壯大。本小節(jié)將介紹綠盟科技伏影實驗室于2024年捕獲但并未公開對外披露的部分較為活躍且獨具特色的Mirai變種家族的發(fā)展情況。

5.2.1.1gayfemboy瞄準(zhǔn)國內(nèi)設(shè)備

2024年初，綠盟科技伏影實驗室全球威脅狩獵系統(tǒng)監(jiān)測到一個流量特征中帶有“gayfemboy”標(biāo)識的木馬開始活躍起來，我們將該木馬命名為 gayfemboy，并對其活動重點監(jiān)測。其后，安全社區(qū)也相繼披露該家族，至今，gayfemboy 已頗具氣候，持續(xù)攻占國內(nèi)設(shè)備，國內(nèi)已確認大批量失陷主機，其中不乏關(guān)鍵基礎(chǔ)設(shè)施，從地域分布來看，黑龍江和天津地區(qū)受害最為嚴(yán)重。

圖5.11失陷主機分布

gayfemboy基于Mirai源代碼修改而來，使用 20多個漏洞和Telnet弱口令傳播樣本，注冊了No-IP 的動態(tài)域名作為 C&C，樣本上線時，會發(fā)送“gayfemboy”這一特定的字符序列。該僵尸網(wǎng)絡(luò)具備較強的隱匿性及對抗性，會通過mount命令將自身文件掛載到空目錄，使用隨機進程名并kill競爭對手。該家族除了具備DDoS攻擊能力之外還支持自更新以及命令執(zhí)行等功能，這使得其具備的威脅性進一步提高，攻擊者在控制大量設(shè)備后，可以在此基礎(chǔ)上展開更為隱蔽更為高級的攻擊活動。

5.2.1.2Labot發(fā)展勢頭正盛

2024年10月份，一個傳播名為“l(fā)a.bot.arm7”的惡意文件進入了我們視野，經(jīng)鑒定，該惡意文件隸屬于一個新的僵尸網(wǎng)絡(luò)家族，我們將其命名為Labot。綠盟科技伏影實驗室全球威脅狩獵系統(tǒng)監(jiān)測數(shù)據(jù)顯示，Labot發(fā)展迅速，構(gòu)建數(shù)十個C&C基礎(chǔ)設(shè)施，不斷入侵新設(shè)備，并利用這些設(shè)備頻繁發(fā)起攻擊。受影響國家包括美國（主要受襲）、意大利、俄羅斯及英國等。

圖5.12攻擊目標(biāo)分布

Labot基于Mirai源代碼修改而來，與Mirai僵尸網(wǎng)絡(luò)相比，Labot僵尸網(wǎng)絡(luò)在上線及心跳流量方面展現(xiàn)出明顯的差異，其上線流量數(shù)據(jù)包中包含有“fuck”這一特定字符串，server端回復(fù)心跳數(shù)據(jù)中包含了固定字符串“PTVW”。Labot作為一類新興僵尸網(wǎng)絡(luò)家族，雖未采用過于復(fù)雜的技術(shù)，其表象看似平庸無奇，然而，正是這類看似不起眼的木馬家族，構(gòu)成了loT領(lǐng)域新興威脅的主要部分。攻擊者憑借開源代碼迅速構(gòu)建起其控制網(wǎng)絡(luò)的初步框架，并在此基礎(chǔ)上不斷迭代升級，控制更多設(shè)備，引入新的攻擊模塊，靜待時機。對于每一種新興威脅，我們都應(yīng)給予足夠的重視，防患于未然。

5.2.1.3Moobot_webserv獨特的指令解析模塊

2024年6月份，綠盟科技伏影實驗室監(jiān)測到Mirai變種家族Moobot增添了新的功能，整體結(jié)構(gòu)發(fā)生了較大變化，我們將其命名為Moobot_webserv 并持續(xù)監(jiān)測。Moobot 家族存在 Moobot_socks5，Moobot_tor，Moobot_go，Moobot_xor 等諸多變種，Moobot_webserv主要的特色體現(xiàn)在木馬開發(fā)者嘗試在常規(guī)Mirai指令解析模塊以外添加新功能，其主體功能以 DDoS 為主，內(nèi)置了9種DDoS攻擊方法，并獨立于原有解析邏輯實現(xiàn)了自更新，文件下載等功能。此外，Moobot_webserv的C&C域名以“ru”結(jié)尾，疑似與俄羅斯存在關(guān)聯(lián)。

Moobot_webserv上線完成后，Bot端在接收到Server端的回復(fù)時，并不急于進入原有的指令解析模塊。相反，它引入了一層新的判斷邏輯：如果檢測到的是常規(guī)的 Mirai類攻擊指令，則會將其引導(dǎo)至相應(yīng)的處理模塊進行解析；而對于其他情況，Bot端可以根據(jù)不同的指令，在不觸發(fā)Mirai常規(guī)命令處理邏輯的前提下，執(zhí)行其他功能，例如下載文件和自更新等。這種設(shè)計極大地簡化了新功能的添加過程。攻擊者在后續(xù)操作中，可以直接在判斷邏輯中加入命令執(zhí)行、信息竊取以及代理等操作。

表4.1Moobot_webserv

条件	执行操作
Buff[0] =0x99	退出
Buff[0]=0x33Buff[1]=0x66 Buff[2]=0x99	发送包含“webserv”字符串的数据到服务端
Buff[0]=0x66Buff[1]=Buff[0] Buff[2]=0x33	充当httpd服务器，实现自更新
Other	进入“attack_parse（）”函数，等待接收指令并解析攻击指令，并发起DDoS攻击

5.2.2DDoS新王gorillabot

2024年9月份，綠盟科技伏影實驗室全球威脅狩獵系統(tǒng)監(jiān)測到一個自稱是gorilla botnet的新型僵尸網(wǎng)絡(luò)家族進入異?；钴S狀態(tài)，該家族在9月4日至9月27日期間下發(fā)30余萬條攻擊指令，攻擊密度之高令人震驚。gorilabot 本輪活躍期內(nèi)的攻擊目標(biāo)涵蓋100多個國家，中美兩國為重災(zāi)區(qū)，其攻擊目標(biāo)涉及大學(xué)、政府網(wǎng)站、運營商、銀行、游戲、博彩等多個單位或行業(yè)。

圖5.13攻擊目標(biāo)分布

gorillabot 支持 arm,mips,x86_64,x86 等多種CPU 架構(gòu)，該家族修改自 Mirai 源代碼,新增了多種DDoS攻擊方式，并通過KekSec團伙慣用加密算法來隱藏關(guān)鍵信息，同時通過多種技術(shù)手段來維持對loT，云主機等設(shè)備的長期占有，還具備反蜜罐能力，是一種具備較高對抗意識的新興僵尸網(wǎng)絡(luò)家族。

5.2.3超大分組型僵戶網(wǎng)絡(luò)家族TBOT

2024年，安全社區(qū)揭露了一個名為TBOT的Mirai變種家族，我們對其進行了深入的跟蹤分析。研究表明，該僵尸網(wǎng)絡(luò)采用了分組模式，構(gòu)成了一個規(guī)模龐大的僵尸網(wǎng)絡(luò)，擁有超過100個分組。當(dāng)TBOT與C&C建立連接時，它會攜帶一組分組信息，這些信息旨在標(biāo)識并組織受感染的設(shè)備，以便攻擊者能夠更高效地管理和控制龐大的僵尸網(wǎng)絡(luò)。這些分組信息包括一些關(guān)鍵的標(biāo)識符（如 selfrep，Emerge，xpon 等），以及設(shè)備的操作系統(tǒng)類型或其他識別信息。

圖5.14分組管理

該僵尸網(wǎng)絡(luò)保留了大量原始mirai代碼，整體運行邏輯和網(wǎng)絡(luò)協(xié)議與mirai保持一致，主要功能是執(zhí)行DDoS攻擊，攻擊目標(biāo)遍布全球，沒有明顯針對性。它使用OpenNIC自定義域名，通過RC4等算法對關(guān)鍵信息加密存儲，并具備Oday漏洞利用能力，每日活躍的受感染設(shè)備數(shù)超過3萬，受感染設(shè)備比較多的地區(qū)主要為中國、委內(nèi)瑞拉、印度、韓國、巴西、日本等地。

5.2.4catddos漸成氣候

2024年，catddos攻擊活動顯著增加。該僵尸網(wǎng)絡(luò)家族在發(fā)展過程中出現(xiàn)了專門的Telegram 群組，這些群組被用來宣傳自身或者銷售catddos 控制的資源。后期，原作者在這些群組中發(fā)布了關(guān)于服務(wù)關(guān)停的通知，然而，在服務(wù)關(guān)停之后，由于源代碼的出售或泄露，catddos陸續(xù)出現(xiàn)了新的變種，并衍生出眾多分支。盡管這些不同變種可能由不同的團伙運營，但它們在代碼結(jié)構(gòu)、通信協(xié)議、字符串特征以及解密方法等方面保持了高度的一致性。

圖5.15Catddos源碼

監(jiān)測數(shù)據(jù)顯示，CatDDoS僵尸網(wǎng)絡(luò)家族所利用的漏洞種類繁多，攻擊范圍廣泛，通過大量已知漏洞傳播樣本。其攻擊目標(biāo)遍布全球，尤其集中在北美和歐洲的多個國家，包括美國、法國、德國、巴西以及亞洲的中國等。這些攻擊主要針對云服務(wù)提供商、教育機構(gòu)、科研組織、信息傳輸服務(wù)、公共管理部門以及建筑行業(yè)等多個領(lǐng)域。

5.2.5Zergeca僵戶網(wǎng)絡(luò)獨特的通信模式

2024年，安全社區(qū)披露了一種新型僵尸網(wǎng)絡(luò)家族，命名為Zergeca。綠盟科技伏影實驗室對其進行了跟蹤分析。研究結(jié)果表明，Zergeca 是一個以 DDoS 攻擊為核心功能的僵尸網(wǎng)絡(luò)家族，并且具備自升級、持久化、文件傳輸、反向 shell以及收集設(shè)備敏感信息、代理和掃描等能力。這些特性使得Zergeca的威脅性顯著提高。

圖5.16Zergeca僵尸網(wǎng)絡(luò)特點

Zergeca 的實現(xiàn)采用了 Go語言，其開發(fā)者早期曾運營過 Mirai 變種。該木馬支持多種DNS解析方式，并優(yōu)先采用DNS-oVer-HTTPS（DOH）進行解析。此外，它還利用Smux庫來實現(xiàn) C2 通信協(xié)議。Smux（Simple MUltipleXing）是Go語言的一個多路復(fù)用庫，它依賴于底層鏈接（如TCP或KCP）來提供可靠性和排序，并實現(xiàn)面向流的復(fù)用。

5.2.6銀狐持續(xù)集成新對抗手法

2024年，銀狐無疑是活躍于Windows平臺上的最猖獗的僵尸網(wǎng)絡(luò)之一。綠盟科技的伏影實驗室捕獲了大量針對我國用戶的“銀狐”的最新變種。在傳播過程中，攻擊者持續(xù)利用偽裝成財務(wù)、稅務(wù)違規(guī)稽查通知等主題的釣魚信息和收藏鏈接，通過微信群直接傳播含有該木馬病毒的加密壓縮包文件。

圖5.17偽造稅務(wù)稽查

2024年以來，銀狐不斷集成新的對抗方式，表現(xiàn)出極強的對抗性。

表5.2銀狐集成的對抗手法

对抗手法	简介
利用COM组件改写防火墙规则	通过COM组件改写防火墙规则，实现断网，并阻止样本上传，随后，样本将“白加黑” 后门文件释放到本地磁盘，并以相同方式删除先前修改的防火墙规则以恢复网络连接。
利用企业级管理软件	银狐为了实现长期控制用户电脑，会利用一些正规的企业管理软件，如IP-Guard、 Ping32和阳途终端安全等，实现在系统中的长期驻留。
rpc+管道创建计划任务	通过构造RPC数据包并发送请求至对应的RPC服务，能够绕过多个终端安全软件对 CreatServices、NrdClientCall3等3环函数的Hook，从而规避服务创建监控和限制，构建出全白的进程链，使进程可信，且与原始进程断链，提升隐匿性，降低查杀阈值。
PoolParty注入	PoolParty注入是一种全新的注入技术，当前杀毒引擎缺乏对该注入方式的检测能力。 PoolParty的技术核心是巧妙地操纵Windows线程池的工作项（如TP_WORK、TP_ WAIT等），将自定义的shellcode插入到目标进程内，而不会留下明显的痕迹。
ICMLuaUtil绕过uac	COM提升名称（COMElevationMoniker）技术允许运行在用户账户控制下的应用程序用提升权限的方法来激活COM类，以提升COM接口权限。同时，ICMLuaUtil接口提供了ShellExec方法来执行命令，创建指定进程。因此，我们可以利用COM提升名称来对ICMLuaUtil接口提权，之后通过接口调用ShellExec方法来创建指定进程，

5.3 僵尸網(wǎng)絡(luò)團伙活躍頻繁

5.3.1Hail團伙高歌猛進

2024年，Hail團伙控制的僵尸網(wǎng)絡(luò)家族hailbot攻擊活動異常頻繁，其控制的C&C數(shù)量累計超過700個，且每月新增的C&C服務(wù)器數(shù)量仍在持續(xù)增長。hailbot在本年度累計下發(fā)了超過五萬條攻擊指令，攻擊范圍覆蓋了70多個國家。其中，巴西（ 28% ）、美國（ 19% 和中國（ .16% ）遭受的攻擊最為嚴(yán)重。

圖4.18hailbot每月新增C&C數(shù)

圖4.19hailbot攻擊目標(biāo)分布

Hail團伙最初將金融和貿(mào)易機構(gòu)作為其主要攻擊目標(biāo)，以木馬載荷托管業(yè)務(wù)為主，托管Lokibot、Formbook、AsyncRAT等Windows平臺竊密木馬，并自2022年下半年起開始針對loT平臺部署僵尸網(wǎng)絡(luò)，轉(zhuǎn)向DDoS攻擊活動。時至今日，該團伙已發(fā)展成為loT平臺不容忽視的一大威脅源，其C&C 增長速度居于各類Mirai變種之首，攻擊活動也極為頻繁，這值得引起我們的警惕。

5.3.2KekSec團伙新增運營多個新型僵戶網(wǎng)絡(luò)家族

過去的一年里，安全社區(qū)鮮有披露KekSec團伙新的攻擊活動，該團伙看似已成歷史，但實際上，他們一直都在，且極為活躍。綠盟科技伏影實驗室全球威脅狩獵系統(tǒng)監(jiān)測數(shù)據(jù)顯示，雖然該團伙早期創(chuàng)建的多個僵尸網(wǎng)絡(luò)均已銷聲匿跡，但仍有部分家族生存了下來，并不斷更新版本，其核心代碼也在多個家族中被相互復(fù)用。與此同時，該團伙還在不停地構(gòu)建新的僵尸網(wǎng)絡(luò)家族。

2024年，綠盟科技伏影實驗室依托全球威脅狩獵系統(tǒng)監(jiān)測到KekSec團伙新增運營了兩個僵尸網(wǎng)絡(luò)家族，依據(jù)木馬作者在二進制文件中留有的簽名信息，我們將這兩個新型僵尸網(wǎng)絡(luò)家族命名為hbot和HAEDBot。

監(jiān)測數(shù)據(jù)顯示，hbot是KekSec團伙長期運營著的一個新型僵尸網(wǎng)絡(luò)家族，該家族修改自Gafgyt源碼，我們對hbot的命名來源于二進制文件中留有的字符串簽名信息“hbotproc starting.”。該木馬支持多種 DDoS 攻擊方式，直至2024年5月份，依然在持續(xù)更迭版本，并利用安卓設(shè)備的adb接口大肆傳播。

2 sub_8049040();
3 sub_804AC60();
4 sub_804E4A2("hbot proc starting...");
.5 sub_80481c0(a0vk);
.6 sub_804E117(15, (unsigned int)"/bin/busybox", 0, 0, 0);
7 \*（_DWORD \*）\*a2 =0；
8 sub 804F522(\*a2, a0vk);

HAEDBot最早于2024年年初出現(xiàn)，該家族具備較強的隱匿性，構(gòu)建了基于Tor網(wǎng)絡(luò)的通信信道，同時內(nèi)置多組加解密算法隱藏敏感信息。HAEDBot的命令解析模塊及整體功能與Gafgyt_tor和EnemyBot等家族較為相近，支持命令執(zhí)行，掃描爆破，充當(dāng)下載服務(wù)器等功能，具備TCPFLOOD，UDPFLOOD,HTTPFLOOD及DNSFLOOD等十余種類型的 DDoS 攻擊方式。

圖5.21HAEDBot留有的簽名信息

5.3.3機J頂盒上的新威脅--Bigpanzi

2024年，安全研究社區(qū)披露了一個名為Bigpanzi的新型僵尸網(wǎng)絡(luò)團伙。綠盟科技伏影實驗室對其進行了深入的追蹤分析。研究表明，該組織已經(jīng)活躍了長達八年，主要通過盜版應(yīng)用程序和固件更新來感染基于Android系統(tǒng)的電視和流媒體設(shè)備。典型的感染途徑是用戶在智能手機上訪問可疑的流媒體網(wǎng)站，不經(jīng)意間將惡意應(yīng)用程序下載到他們的Android智能電視上。

Bigpanzi的樣本種類繁多，包括PE、DEX、ELF等多種格式。它具備較強的對抗性，采用了UPX變形殼，以及ollvm的控制流平坦化和指令替換技術(shù)，并運用了多重反調(diào)試技術(shù)。其危害不僅限于廣為人知的 DDoS 攻擊，Bigpanz 還能利用被控制的Android 電視或機頂盒在不受法律法規(guī)約束的情況下傳播任意圖像和聲音信息。

表5.3Bigpanzi團伙信息

团伙名称	Bigpanzi
出现时间	2015年开始活跃起来
受感染设备数量	10万量级受感染设备，主要位于巴西
感染设备类型	Android操作系统的电视、机顶盒，eCos操作系统的机顶盒等
传播方式	诱使用户安装带有后门的免费的视频APP，影像娱乐平台
主要业务	流量代理，DDoS攻击，互联网提供内容的服务，盗版流量
核心组件	pandoraspear（Android系统的后门木马，支持ddos，命令执行等） Pcdn（通过P2P协议将诸多被感染设备组网，形成一个类似P2P的内容分发网络，DDoS攻击)
核心组件	DDoS工具
对抗技术	通过修改hosts保护自身资产，防止被sinkhole
对抗技术	采用了UPX变形壳技术，以及ollvm的控制流平坦化和指令替换技术，并运用了多重反调试技术动态链接，依赖第3方的libcurl库，大部分沙箱下无法运行
危害	不仅有大家熟知的DDoS攻击，它还可以利用被控制的Android电视或机顶盒不受法律法规约束地传播任何图像、声音信息。

未來展望一僵尸網(wǎng)絡(luò)發(fā)展趨勢預(yù)測

本年度，全球網(wǎng)絡(luò)安全形勢持續(xù)惡化，僵尸網(wǎng)絡(luò)發(fā)起的攻擊活動愈發(fā)猖獗。我們基于對僵尸網(wǎng)絡(luò)的深入研究長期積累的研究數(shù)據(jù)對Botnet2025年度的發(fā)展趨勢做出以下預(yù)測：

將出現(xiàn)更多具有國家級背景的僵尸網(wǎng)絡(luò)。攻擊者會將僵尸網(wǎng)絡(luò)視為“戰(zhàn)略儲備資源”，在關(guān)鍵時刻利用其隱匿性、定向性和高破壞力對特定目標(biāo)發(fā)起攻擊。別有用心者會利用僵尸網(wǎng)絡(luò)傳播不實信息，制造社會恐慌，以實現(xiàn)其政治目的。

APT和勒索團伙將進一步提升對僵尸網(wǎng)絡(luò)的利用率。攻擊者將充分利用僵尸網(wǎng)絡(luò)來獲取情報信息、分發(fā)其他惡意組件，并在僵尸網(wǎng)絡(luò)的掩護下執(zhí)行高級攻擊。同時，集勒索、DDoS、信息竊取等多種功能于一體的組件式惡意軟件也將日益增多。

以盈利為目的的傳統(tǒng)僵尸網(wǎng)絡(luò)團伙將模仿現(xiàn)有的“帶貨”模式迅速擴張。在發(fā)展初期，他們將通過Twitter、Telegram等隱秘性較高的社交平臺進行宣傳、租賃和銷售所控制的資源，以積累原始資本或吸引投資，為后續(xù)發(fā)展打下基礎(chǔ)。

僵尸網(wǎng)絡(luò)木馬的隱匿性將得到進一步加強。網(wǎng)絡(luò)側(cè)對抗將一如既往地激烈，攻擊者不斷引引入類似DNS-oVer-HTTPS(DOH)、域名生成算法（DGA）等高隱匿性通信模式，給檢測和追蹤帶來新的挑戰(zhàn)。loT平臺木馬對文件側(cè)隱匿性也將更加重視，逐漸出現(xiàn)類似Windows平臺的復(fù)雜對抗技術(shù)，各種加殼和混淆方法將層出不窮。

此外，在木馬文件傳播上，為了防止關(guān)鍵信息泄露，越來越多的黑客團伙將使用獨立的傳播工具，不再將漏洞 payload 乃至于弱口令信息內(nèi)置于木馬本體。Windows 平臺上的社會工程學(xué)手法也將日益增多，攻擊者將更加重視利用人的“漏洞”。