网络安全江湖“百晓生”为你揭密僵尸网络的江湖排名

　　桃李春风一杯酒，江湖夜雨十年灯。

　　看过古龙的人都知道，他的作品中有这么一位人物，通晓江湖事，著有《兵器谱》，名唤百晓生。乱世出英雄，如今网络安全江湖今非昔比，风云变幻，也出了这样一位“百晓生”。攻防较量日趋焦灼，许多网安义士想要“惩奸除恶”，与宵小一决高下，必然要做到：知己知彼，百战不殆。而网安江湖“百晓生”——威胁情报，则早已成为攻防双方决策的重要依据。江湖中早有妖风，黑客组织借僵尸网络为祸人间，如跗骨之蛆，伺机而动。“百晓生”《兵器谱》中僵尸网络排名几何?绿盟科技近期发布的《2018年度BOTNET趋势报告》已有著述。

　　黑客的拿手伎俩——僵尸网络

　　在面对互联网威胁的过程中，Botnet即僵尸网络，作为互联网领域中持续时间最长的一类威胁形式，以其泛用性、灵活性、高可操作性等特征，成为攻击者的主要攻击手段之一，因此对僵尸网络进行研究是必不可少的获取情报的途径。

　　僵尸网络的招数变化

　　绿盟科技伏影实验室基于2018年持续追踪和研究所获得的数据，发布了《2018年度BOTNET趋势报告》，从Botnet在程序结构、运维方式、经济模式等多个层次上发生的显著变化进行了阐述：

　　Botnet程序代码结构普遍趋向成熟，开始呈现高度的模块化特征，其恶意行为从执行DDoS攻击扩展为结合挖矿、勒索等模块的多元化攻击;

　　新平台安全性的羸弱使得Botnet扩散传播更为主动，Windows平台老家族活跃度下;

　　降，IoT平台家族则迅速成长壮大;2018年，Linux及IoT平台家族的C&C服务器数量在整体数据中占比从上年度的4.4%提升至31%，产生的攻击数量占观测量的92%;

　　IoT平台家族控制的肉鸡发出的攻击与高倍数反射DDoS攻击技术相结合，达到隐藏攻击源，产生巨量攻击流量的目的，加大了DDoS攻击防御难度;

　　Botnet开始向少数成熟且功能完善的家族集中，黑产团伙倾向于使用稳定的Botnet家族版本及C&C服务器;

　　控制者更多地将Botnet的C&C服务器部署在互联网基础设施发达的国家和地区，借助这些区域低廉的部署费用降低Botnet的维护成本;

　　我们观察到，价格低廉、审核宽松的VPS(Virtual Private Server)降低了非组织黑产人员架设Botnet网络的成本;

　　Botnet控制者在套现方面表现得更加激进，Botnet向BaaS(Botnet as a Service)方向发展，使得其攻击目标扩大至在线服务消费者以及线上黑色产业等。

　　网安江湖“百晓生”之所以扬名立万，就是因为他的情报是从数据中提炼而来，从情报中感知威胁，这也就是威胁情报的核心理念。

　　“招数”源头

　　僵尸网络如此凶险的招数究竟出自何门何派呢?僵尸网络最早的历史渊源可以追溯到 1993 年在 IRC 聊天网络中出现的 Bot 工具——Eggdrop，它能够自动地执行如权限管理、记录频道事件等一系列功能，帮助 IRC 网络管理员更方便地管理聊天网络。黑客受到这种工具的启发，1999 年 6 月，在因特网上出现的 PrettyPark 首次使用了 IRC 协议构建命令与控制信道，从而成为第一个恶意僵尸程序。

　　招数特点及斑斑劣迹

　　僵尸网络在江湖中又为何如此臭名昭著?主要还是由于来势汹汹，杀伤面积大。从2010年起，僵尸网络开始迅速发展;2016年Mirai僵尸网络对美国的电信服务商Dyn进行攻击，导致美国1/3地区的人们无法连接到互联网，此时僵尸网络的影响力已逐步扩大;时间到了2018年，攻击者利用upnp漏洞传播的僵尸网络，在短时间内就控制了10W多台路由器，如果结合高放大倍数的反射攻击，造成的损失将是无法估计的，远远超越2010年前的僵尸网络所带来的危害，短短8年间，僵尸网络的时效及影响范围已经达到了耸人听闻的地步。诸如此类的攻击不断的升级，在这些高威胁来临时，对防护类设备提出了新的考验，也影响了威胁情报在网络安全领域的发展方向及落地方式。

　　“江湖通缉令”

　　在国际上，工业界和政府部门非常关注僵尸网络对因特网带来的严重安全威胁，微软公司在2004年发起了国际反僵尸网络工作组，2006 年 6 月，美国陆军研究办公室 ARO、国防高级研究计划署 DARPA和国土安全部 DHS 等 3 个部门联合在 GA Tech 举办了僵尸网络专门研讨会，汇集学术界、政府部门和工业界的研究人员对这一安全威胁进行了深入探讨，并汇总出版了《Botnet Detection: Countering the Largest Security Threat》。

　　2014年11月，受法国军方支持，由民间组织建立了名为BotConf的僵尸网络对抗技术论坛，汇聚了全世界研究僵尸网络的安全研究人员，在此会议上发布了包括DGA算法的检测手段等众多研究成果。

　　2018年，由各大国际网络安全厂商及电信服务商组成的CSDE理事会发布了《INTERNATIONAL ANTI-BOTNET GUIDE》，用以研讨如何与僵尸网络攻击进行对抗。

　　“百晓生”的千里眼和顺风耳

　　百晓生《兵器谱》的背后是千千万万个数据来源织就的恢恢法网，跟踪与监测着黑客家族的一举一动。在2018年绿盟科技伏影实验室共监控到攻击命令10万余条，其中有效攻击目标数量为40万余次，相较去年(20万余次)增长了66.4%，受影响的行业包括新闻、投资、影视、消费、云服务、游戏等，严重影响人们正常的工作生活。伏影实验室依托绿盟威胁情报平台，输出了大量的僵尸网络控制、攻击信息，能够协助终端设备快速定位威胁来源，迅速截断恶意请求的流量，加大恶意流量的辨识效果，有效的提升了僵尸网络的检测率和阻断率，保证各类业务正常运行。

　　伏影实验室通过对Botnet的整体监控与分析，获取了活跃攻击方式、主要攻击目标、主流攻击手法等第一手情报，对关联组织进行分析与画像，进而实现对网络攻击的告警与预防乃至对黑产组织的定位与打击。

　　江湖小贴士：

　　结合2018年度观察结果，为了有效打击Botnet，我们建议充分利用各机构、各部门现有的网络资源进行协同治理。确定需要防御的资产以及可能暴露这些资产的攻击面，从而更好地净化网络空间。

　　完整版报告下载链接如下：

　　https://www.nsfocus.com.cn/upload/contents/2019/03/20190304155147_95404.pdf