Botnet趋势报告（2025版）

01执行摘要 CONTENTS 1 关于绿盟科技 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于 2000年 4 月，总部位于北京。公司于 2014 年 1 月 29 日起在深圳证券交易所创业板 上市，证券代码：300369。绿盟科技在国内设有 40 多个分支机构，为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户，提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。公司在美国 硅谷、日本东京、英国伦敦、新加坡设立海外子公司，深入开展全球业务，打造全球网络安全行业的中国品牌。 02 僵尸网络发展趋势32.1大国网络空间博弈的重要武器42.2高级威胁攻击的前置10 03 僵尸网络漏洞利用情况、传播情况143.1传播方式分析153.2感染范围分析17 关于伏影实验室 专注于安全威胁监测与对抗技术的研究，涵盖 APT 高级威胁、Botnet、DDoS 对抗、流行服务漏洞利用、黑灰产业链威胁及数字资产等新兴领域。 04 研究目标是掌握现有网络威胁，识别并追踪新型威胁，精准溯源与反制威胁，降低风险影响，为威胁对抗提供有力决策支持。 僵尸网络攻击活动分析194.1攻击活动分析204.2控制地址分析22 采用前沿技术探索与实战对抗相结合的研究模式，协助国家单位破获 APT 攻击案件数起，全球率先发现 8 个新型 APT 攻击组织，处置 40多起涉我 APT 攻击事件，为国家重大网络安保做出突出贡献。 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 05 僵尸网络的发展与对抗255.1僵尸网络对抗愈加激烈265.2新兴家族层出不穷325.3僵尸网络团伙活跃频繁38 01 06未来展望——僵尸网络发展趋势预测42 执行摘要 2024 年，全球遭遇了空前的动荡与挑战，国际政治格局深刻调整，全球经济形势错综复杂，科技创新与社会文化激烈碰撞。在此背景下，网络空间成为大国间“兵家必争之地”，暗潮涌动。作为高级势力重要工具的僵尸网络被赋予了新的使命，有了新的用途。 僵尸网络成为大国网络空间博弈利器。近年来，在俄乌战争及巴以冲突等重大地缘事件中，均监测到僵尸网络发起过 DDoS 攻击活动。僵尸网络经常被用来发起针对对手国家的高强度网络攻击，导致其关键基础设施瘫痪；或是通过僵尸网络操控舆论，进行恶意宣传，以期达到分化敌对国家的目的；此外，攻击者还利用僵尸网络在特定时期发起网络攻击活动来表达政治立场以及参与阵营之争，从而间接影响最终决策。 僵尸网络威胁态势日益严峻。2024 年，僵尸网络所控制的 C&C 数量及发起的攻击活动次数再创新高，其中极大比例的攻击活动针对国内关键基础设施；在众多僵尸网络家族中，Mirai 家族最为活跃，Mozi 木马的传播量持续保持高位；感染方式上，Linux/IoT 平台漏洞入侵方式依然占据主导地位，Windows 平台各种新的社工手法层出不穷。 僵尸网络成为高级威胁攻击的“跳板”。APT 或勒索团伙利用僵尸网络节点收集目标环境的情报信息，进而投递后续攻击组件；或者利用已获取的立足点分发邮件，充当代理，为后续攻击做准备；此外，一些恶意软件集成了勒索、DDoS、窃密等多重功能，通过模块化组件的形式下发，这些工具落入不同的组织便有了不同的用途。 僵尸网络发展趋势 僵尸网络新家族展现出日益增强的对抗性。相较于 Windows 平台，Linux/IoT 僵尸网络文件侧的对抗相对较弱，早期多以变形的 UPX 壳为主，但近年来攻击者提高了文件侧隐匿性的重视程度，逐渐引入 shc、KiteshieldPacker 等壳技术来降低杀毒软件的检测率；流量层面，对抗依然激烈，攻击者利用 DGA、DOH、OpenNIC、币安智能合约托管 C&C 等技术手段来减少被检测的概率，或是设计复杂的通信逻辑以避免被安全研究人员追踪。此外，本年度攻击者对 ssh 协议的关注度显著提升，他们尝试各种 ssh 利用技术，以求通过更高效的方式分发恶意软件或窃取数据。 僵尸网络新团伙相继加入借助社交平台进行宣传的行列。xorbot 与 catddos 等僵尸网络家族的控制者，在其演进历程中，逐渐学习了老牌僵尸网络团伙的成熟策略，转而利用社交平台作为宣传阵地，并通过诸如 Telegram 等隐私性较强的社交渠道来统一租赁或售卖他们所控制的资源。这一行为特征极大程度上印证了我们先前的预测。这些团伙在发展的早期阶段通过社交媒体进行“带货”，以提高知名度，吸引投资或直接获取收益，进而为后续的发展做铺垫。 2.1 大国网络空间博弈的重要武器 近年来，僵尸网络已演变为国家间网络空间对抗的重要武器。国家级背景的网络攻击团伙通过控制僵尸网络对目标国的关键基础设施实施高强度的 DDoS 攻击，造成其关键基础设施的瘫痪；或是利用僵尸网络散布谣言，试图对敌对国家的内部舆论施加影响，以达成政治目的；此外，攻击者还将僵尸网络的日常化运营作为数字化时代的关键战略资源，在必要时刻利用这些僵尸网络对特定领域进行有针对性的打压。 2024 年，我国首款 3A 游戏《黑神话：悟空》在上线初期遭遇大规模 DDoS 攻击事件。其后，我国首个高性能开源 AI 大模型在发布当天也遭到了持续的 DDoS 攻击。此外，美国大选期间、法国逮捕 Telegram 创始人等重大事件中，僵尸网络多次针对关键基础设施发起 DDoS攻击，以表达其立场。乌克兰广播电视系统也被僵尸网络操控，节目内容遭到篡改，引发严重的社会恐慌。 2024 年 8 月 24 日凌晨，Telegram 创始人 PavelDurov（帕维尔·杜洛夫）在巴黎布尔歇机场遭到逮捕，这一突发事件迅速引起了国际社会的广泛关注。逮捕事件发生后的 24 小时内，针对法国的 DDoS 攻击强度急剧上升，攻击规模达到了空前的水平。黑客团体认为 Telegram 创始人被捕侵犯了他们的言论自由的权利，这激起了他们的强烈不满。包括 UserSec、CyberDragon、ReconSploit、Evilweb、Rootspolit、CGPlnet和RipperSec在内的 38 个黑客组织，联合发起了一系列 DDoS 攻击，目标直指法国的多个网站。这些攻击导致了大量公共平台网站的服务中断。 这些案例警示我们应持续监测僵尸网络的感染、控制和攻击活动，并采取措施治理大规模、分布式的僵尸网络节点，以有效斩断其危害链条。 2.1.1 表达政治倾向，参与阵营之争 僵尸网络亦被民众用以表达政治立场或在特定时期参与阵营之争，相较于需要在现实世界中通过组织策划游行的方式表达不满，DDoS 攻击不受地域限制，可以快速并很容易地将相关目标致瘫来表达自己的不满及诉求。 2024 年 11 月 6 日（美东时间 11 月 5 日），美国举行了第 47 届总统及议会席位选举。鉴于党派对立、价值观分歧等多重政治因素，全球各地的选举活动历来是网络黑客攻击的焦点。本次美国大选同样未能幸免，不仅遭遇了网络攻击，而且攻击的强度和频率均达到了空前的水平。攻击者借助 Mirai 等僵尸网络家族发起攻击，使用的攻击基础设施主要集中在北美和欧洲。 DDoS 攻击逐渐演变为政治表达手段，其影响是多方面的。首先，它可能对国际关系产生影响，加剧国家间的紧张关系。其次，它可能引发对网络安全和数字主权的讨论。最后，它也可能引起公众对网络空间作为政治表达平台的关注和反思。 2.1.2 操控舆论，恶意宣传 僵尸网络承担起操控舆论，恶意宣传的政治任务。别有用心者利用僵尸网络劫持并篡改网页及控制大屏播放设备来散布谣言，引发社会恐慌，进而实现其政治目的。 2024 年 2 月中旬，绿盟科技伏影实验室监测到一个具有显著政治倾向的僵尸网络团伙。该团伙一方面通过构建网页的方式传播“颠倒黑白”的政治言论，蓄意诋毁我国形象。另一方面，该团伙还利用 Mirai 僵尸网络家族控制国内资源，对美国发起攻击活动。其目的在于制造对我方不利的舆论。 2.1.3 紧跟时事热点，精准打击 在众多引人瞩目的时事热点事件背后，僵尸网络的活动痕迹频繁被发现。由于僵尸网络发起攻击具备较高隐蔽性、较强破坏力以及具备高度的针对性，其已成为高级势力不可或缺的工具。利用僵尸网络在关键时刻发起攻击，打压对方，已成为攻击者惯用的手段。 2024 年 8 月末，正值国内一款风靡全球的游戏《黑神话：悟空》发布并迅速走红之际，其发行平台 Steam 遭遇了全球范围内的服务器瘫痪事件。众多玩家推测，服务器崩溃可能是由于《黑神话：悟空》的在线玩家数量过多。然而，完美世界官方随后发表声明称“Steam正遭受 DDoS 攻击”。绿盟科技伏影实验室全球威胁狩猎系统监测数据也证实了这一点，包括 CatDDoS 在内的多个僵尸网络家族参与了对《黑神话：悟空》的有组织、有计划的 DDoS攻击活动。作为中国首款国产 3A 级单机游戏，《黑神话：悟空》不仅在全球范围内赢得了大量粉丝，也为中国游戏产业的突破性发展做出了贡献，同时为全球玩家提供了一个了解中国文化的窗口。攻击者对这款游戏的攻击行为或是对国家层面对外文化输出的一种打压。 近年来，具备流量劫持能力的僵尸网络家族逐渐兴起。2024 年初，安全社区揭露了一个名为“Bigpanzi”的新型僵尸网络家族。绿盟科技伏影实验室对该家族进行了深入的追踪与分析，研究结果表明，Bigpanzi 家族的威胁不仅限于广为人知的 DDoS 攻击，它还能够利用受其控制的 Android 电视或机顶盒传播任意图像和声音信息。Bigpanzi 家族所具备的这种攻击能力使其具备的危险性进一步提升，对社会的稳定构成了严重威胁。此类攻击在现实世界中已有许多实际案例，例如在 2024 年上半年，攻击者篡改了乌克兰自由频道的节目内容，播放了俄罗斯艺术家的歌曲和宣传短片，以此进行舆论引导和造势。 2024 年 7 月，法国成为国际社会关注的焦点。在塞纳河畔，备受瞩目的巴黎奥运会隆 于提供技术指导和交流。通过这一社交平台，网络专家们能够分享经验、解决技术难题，以及策划和执行网络攻击。2024 年，由于 Telegram 创始人 PavelDurov 在法国机场被拘留，乌克兰 IT 志愿军出于安全性考虑将统战中心转移到 activeness.social(https://activeness.social)。 重开幕，这一盛事吸引了国际社会的广泛关注。然而，在荣耀的光环之下，巴黎也长期遭受DDoS 攻击的威胁。绿盟科技伏影实验室的全球威胁狩猎系统监测数据显示，自奥运会开幕的那一刻起，法国便陷入了一场持续的 DDoS 攻击风暴。 乌克兰 IT 志愿军通过 Telegram 频道持续发布战果。2024 年 6 月，他们对敌方银行系 统 发 起 高 强 度 的 DDoS 攻 击， 导 致 其 银 行 业 务 中 断。 并 通 过 Telegram 发 布 消 息 称：“我们昨日所承诺的对敌方银行系统的破坏并非空言。今日，更多的银行及其卡支付系统‘Mir’ 已经中断服务。VTB、Sberbank、Tinkoff、Alfa-Bank、Beeline、MTS、Rostelecom、Gazprombank、Megafon、SBP、NSPK、EIRC 以及其他众多小型服务目前均无法正常运作。” 2024 年 6 月 23 日，“HackNeT”“НароднаяCyberАрмия”等亲俄黑客团体攻击法国巴黎大皇宫、拉罗谢尔电影节等相关网站，他们宣称此次攻击活动为奥运前“演练”。8月 3 日，白俄罗斯选手在蹦床项目夺冠后出现了无法悬挂本国国旗的事件，黑客团体再次发起了 DDoS 攻击，巧妙地利用NTP、DNS、netAssistant等攻击手段进行反射放大攻击。文化艺术、电信、教育行业成为主要的攻击目标。