2025年度Botnet趋势报告

关于绿盟科技@版权除非另有规定，本文中任何文本描述、文档格式、插图、照片、方法、流程和其他内容均受NSFOCUS版权保护，并受相关产权及版权法律法规保护。未经NSFOCUS的书面授权和许可，任何个人或机构均不得以任何方式复制或引用本文的任何部分。成立于2000年，NSFOCUS在全球运营，在北京、中国和圣克拉拉，CA，美国有两个总部，超过3000名员工，以及50多个办公室，保护超过25%的财富。全球范围。它在全球500强企业中拥有卓越的业绩记录，包括五大行中的四家和全球十大电信公司中的六家。NSFOCUS公司，一家网络安全领域的先驱领导者，致力于保护电信、互联网服务提供商、主机提供商和企业免受复杂的网络攻击。凭借技术实力和创新，NSFOCUS提供全面的安防解决方案，包括适用于现代SOC的智能安全运营平台（ISOP）、流量型DDoS防护、持续威胁暴露服务（CTEM）以及Web应用和API防护（WAAP）。所有解决方案和服务均由NSFOCUS研发的安全大型语言模型（SecLLM）及其他前沿研究成果增强。 1.2. 对高级威胁的预攻击 71.2.5. 开源RAT受到APT组织青睐 9内容1.僵尸网络趋势1.2.1. 收集信息1.2.2. 分发钓鱼邮件1.2.3. 递送武器1.2.4. 作为代理人1.1.2. 公众舆论操纵和恶意宣传1.1.4. 乌克兰的网络部队长期以来一直在发动网络攻击1.1.1. 表达政治倾向，参与派系纷争1.1.. 大国网络竞争中的重要武器1.1.3. 紧跟热点，精确打击4 3 22 6 8899 4. 发展与对抗4.1.3. 独特反追踪点子4.1.4. 通过DOH增强隐蔽性4.1.6. 探索 ssh 的新用途4.1.1. 容器保护升级 - 恶意软件的新“护甲”4.1.7. 使用QEMU作为隧道工具2.僵尸网络漏洞利用与传播僵尸网络233.2. 控制地址分析202.1. 传输模式分析122.2. 感染范围分析134.1.5. 使用币安智能合约托管C&C3.1. 攻击活动分析174.1.2. 使用dga规避检测263. 分析僵尸网络攻击活动4.1. 拒绝网络对抗日益激烈 2911271624 4.1.9. 引入OpenNIC域名4.1.10. 使用STUN协议获取公共网络地址4.2. 新的僵尸网络家族正在出现4.2.1. Mirai僵尸网络家族有了新成员4.2.1.1. gayfemboy针对中国设备4.2.1.2. Labot崛起4.2.1.3. Moobot_webserv 独特命令解析模块4.2.2. Gorillabot，新的DDoS霸主4.2.3. TBOT，一个超级大型分组僵尸网络家族4.2.4. Catddos正变得流行4.2.5. 拉齐卡僵尸网络的独特通信模式4.2.6. 灰狐继续整合新的反制措施4.3.1. 冰雹组正在取得巨大進展4.3.2. KekSec小组已添加多个新的僵尸网络家族4.3.3. 大盘芷，机顶盒上的新威胁4.1.8. 使用防病毒厂商内核驱动程序终止防病毒软件4.3.僵尸网络群组活跃405. 展望：对僵尸网络发展趋势的预测 3044 313232323233333435363738404142 执行摘要2024年，世界面临前所未有的动荡和挑战。国际政治格局发生深刻变化，全球经济形势复杂，科技创新与社会文化之间存在激烈摩擦。在此背景下，网络空间已成为大国博弈的战场。新的僵尸网络群体也使用社交平台进行推广。xorbot和catddos等僵尸网络家族的控制器逐渐从成熟的僵尸网络群体那里学到了成熟的策略。他们开始将社交平台作为推广前沿，并通过Telegram等注重隐私的社交渠道出租或出售他们控制的资源。这一行为趋势在很大程度上证实了我们之前的预测。在发展初期，这些群体使用社交媒体来提高他们的知名度，吸引投资，或直接产生收入，从而为他们未来的增长奠定基础。僵尸网络已成为大国在 cyberspace 竞争霸权的有力工具。在主要地缘政治事件中，如近年来，由僵尸网络发起的DDoS攻击在俄罗斯-乌克兰战争和以色列-巴勒斯坦冲突中被检测到。僵尸网络通常被用来对敌对国家发起高强度的网络攻击，瘫痪其关键基础设施。它们还用于通过协调的僵尸网络活动操纵公众舆论，并传播恶意网络宣传，旨在挑拨敌对国家内部矛盾。此外，攻击者还利用僵尸网络在特定时间发动网络攻击，以表达政治立场和介入不同派别的争端，从而间接影响政治决策。僵尸网络已成为高级威胁攻击的跳板。APT组织或勒索软件团伙利用僵尸网络节点收集目标环境的情报，然后作为代理发起后续攻击。组件。它们还可以利用获得的信息来分发电子邮件，并准备后续攻击。此外，某些恶意软件集成了勒索软件、DDoS和窃密等多种功能。它们以模块化组件的形式发布，并且这些工具有不同的用途，由不同的群体使用。新的 Botnet 家族显示出日益激烈的对抗性。与 Windows 平台相比，Linux/IoT Botnet 文件层面的对抗相对较弱。早期主要基于变形的 UPX 壳，但近年来，攻击者增加了对文件层面隐秘性的关注，并逐渐引入了 shc 和 Kiteshield Packer等壳技术来降低杀毒软件的检测率。在流量层面，对抗斗争依然激烈。攻击者使用各种技术，例如 DGA、DOH、OpenNIC，以及在 Binance 智能链上托管 C&C。为了降低被检测的可能性或设计复杂的通信逻辑以避免被安全研究员追踪。此外，今年攻击者对ssh协议的关注度显著增加。他们正尝试各种ssh利用技术来分发恶意软件或窃取 。高效地处理数据 僵尸网络趋势 1 . 拒绝服务攻击趋势1.1.1. 表达政治倾向，参与派系纷争2024年，中国游戏《黑神话：悟空》发布后遭受大规模DDoS攻击。后来，中国首个高性能开源LLM在发布当天遭受持续DDoS攻击。在美国总统选举等重大事件期间，僵尸网络反复针对关键基础设施。法语逮捕了Telegram创始人DDoS攻击以表明其立场。乌克兰的广播系统也被僵尸网络操控，节目内容被篡改造成严重社会恐慌。1.1. 大国网络空间竞争中的重要武器2024年11月6日（美国东部标准时间11月5日），美国举行了其第47届总统和议会选举。鉴于党派对立、价值观差异等多重政治因素，全球范围内的选举活动一直是网络攻击的焦点。美国也不幸被波及选举是1不仅遭受了网络攻击，而且攻击的强度和频率达到了前所未有的水平。攻击者利用Mirai等僵尸网络家族发动攻击，攻击基础设施主要位于北美和欧洲。近年来，僵尸网络已成为网络对抗中的一项重要武器，利用僵尸网络发起高强度DDoS攻击国家。针对目标国家的关键基础设施进行网络攻击的国有支持的团体，导致瘫痪。他们还利用僵尸网络传播虚假信息，试图影响敌对国家的内部舆论。此外，攻击者将僵尸网络的日常运营视为至关重要的出于政治目的。在数字时代，战略资源，必要时利用僵尸网络针对特定行业。这些案例警示我们应该继续监测僵尸网络的感染、控制和攻击活动，并采取措施管控大规模、分布式僵尸网络节点，以有效减轻其危害。僵尸网络也被公众用来表达其政治立场或参与特定时间的派系争端。与在现实生活中组织策划游行来表达不满相比，分布式拒绝服务攻击不受地区限制，可以快速轻松地使相关目标瘫痪，以表达不满和要求。1 请参阅 NSFOCUS威胁情报的微信公众账号上发布的文章《电子选举战：2024年美国大选背后的DDoS攻击迷雾》以获取更多细节 30510152025303540451.1.2. 公共舆论操纵与恶意宣传图1.1 受害者分布受害者分布波兰其他人爱尔兰德国新加坡瑞士荷兰美国英国僵尸网络承担着操纵舆论和政治宣传的使命。怀有不良动机者利用僵尸网络劫持和篡改网页，并控制大型屏幕播放设备来散布谣言、制造社会恐慌，从而达成其政治目标。ddos攻击逐渐演变成一种具有多方面影响力的政治表达方式。首先，它可能对国际关系产生影响并加剧国家间的紧张关系。其次，它可能引发关于网络安全和数字主权的讨论。最后，它还可能引起公众对网络空间作为政治表达平台的关注和反思。近年来，具备流量劫持能力的僵尸网络家族呈上升趋势。2024年初，安全社区发现了一个名为Bigpanzi的新僵尸网络家族。2. 国网福业实验室对该家族进行了深入的调查和分析。1 请参考 NSFOCUS 威胁情报微信公众号上刊登的文章《从奥运会到 TG 创始人被捕：法国陷入 DDoS 旋涡》获取更多详细信息。2https://www.bleepingcomputer.com/news/security/bigpanzi-Botnet-infects-170-000-android-tv-boxes-with- malware/2024年8月24日上午，Telegram创始人帕维尔·杜罗夫在巴黎布尔歇机场被捕。这一突发事件迅速引起了国际社会的广泛关注。在逮捕后的24小时内，针对法国的DDoS攻击强度急剧上升，达到了前所未有的规模1黑客声称逮捕Telegram创始人侵犯了他们的言论自由，这引发了他们强烈的不满。一个包括UserSec、Cyber Dragon、ReconSploit、Evilweb、Rootspolit、CGPlnet和RipperSec在内的38个黑客团体联盟，对多个法国网站发起了DDoS攻击。这些攻击对多个公共平台网站的服务造成了重大中断。 图1.2 卫星电视攻击事件2025僵尸网络趋势报告1.1.3. 紧跟当前热点，精确打击2024年8月底，“黑神话：悟空”游戏发布并迅速走红时，其发行平台Steam遭遇全球服务器宕机。许多玩家猜测服务器崩溃可能是由于“黑神话：悟空”在线玩家数量众多。然而，游戏开发商完美世界随后发布声明称，“Steam正遭受DDoS攻击。”NSFOCUS飞扬实验室全球威胁狩猎系统数据也证实了这一点，包括CatDDoS在内的多个僵尸网络家族参与了对“黑神话：悟空”有组织、有计划的DDoS攻击。攻击者针对该游戏的行为可能是试图压制中国文化输出努力。研究结果表明，Bigpanzi家族构成的威胁超出了众所周知的DDoS攻击。它还可以利用其控制的安卓电视或机顶盒来传播任意图像和音频信息。Bigpanzi家族的这种攻击能力显著增加了其危险性，对社会稳定构成严重威胁。这类攻击在现实中已有许多案例。例如，在2024年上半年，攻击者篡改了乌克兰自由频道的节目内容，播放俄罗斯艺术家创作的歌曲和促销视频，以操纵舆论。僵尸网络活动常常隐藏在许多热点问题背后。鉴于其高度隐蔽性、强大的破坏力和高度精准性，僵尸网络已成为高级别力量的重要工具。 5图 1.4 受影响区域分布受影响区域分布香提永，0.39%亚眠，0.65%斯特拉斯堡，1.66%格雷文莱恩斯，0.36%阿米尼-鲁伊，0.21%克里姆林-比塞特，2.01%维勒班，0.21%鲁贝, 9.69%奥伯维利耶，14.97%巴黎，69.85%巴黎亚眠奥布维耶尔香提永鲁贝格拉韦利ines克里姆林-比塞特阿米尼-鲁伊斯特拉斯堡维勒班s人民Cyber军队2024年6月23日，“HackNeT”和“目标位于巴黎大宫和拉罗谢尔电影节。他们声称网站遭受攻击是在奥运会前的“演练”。8月3日，一位白俄罗斯运动员在蹦床项目中获得金牌后，他所在国家的国旗未能升起。黑客1 详见 NSFOCUS 威胁情报微信公众号文章《从奥运会到 TG 创始人被捕：法国陷入 DDoS 旋涡》in2024年7月，法国成为国际社会的关注焦点。在塞纳河畔，备受期待的巴黎奥运会隆重开幕，吸引了全球的目光。然而，巴黎长期以来一直受到DDoS攻击的威胁。根据NSFOCUS福盈实验室全球威胁狩猎系统的监控数据，自从奥运会开幕以来，法国一直遭受着持续的DDoS攻击风 1暴。 1 https://itarmy.com.ua/图1.5 乌克兰IT军官方网站2025僵尸网络趋势报告乌克兰的IT军队还创建了一个名为“乌克兰IT军队聊天”的Telegram群组，以提供技术指导和交流。通过这个社交平台，网络专家能够分享经验、解决技术问题，以及计划和执行