报告行业投资评级 未提及相关内容 报告的核心观点 - 2024年僵尸网络成为大国网络空间博弈利器，威胁态势严峻，成为高级威胁攻击“跳板”，新家族对抗性增强，新团伙借助社交平台宣传[14][15][16] - 需持续监测僵尸网络活动并治理节点，网络安全治理要考虑各类威胁复杂关系，及时发现并应对新对抗技术[18][43][97] 根据相关目录分别进行总结 执行摘要 - 2024年国际形势下网络空间暗潮涌动，僵尸网络有新使命用途，威胁态势严峻，C&C数量和攻击活动次数创新高，Mirai家族活跃，Linux/IoT平台漏洞入侵为主，Windows平台社工手法多[14] - 僵尸网络成高级威胁攻击“跳板”，新家族对抗性增强，文件侧引入新壳技术，流量侧用多种技术减少被检测概率，攻击者关注ssh协议[15] - 僵尸网络新团伙借助社交平台宣传，通过社交渠道租赁或售卖资源，早期“带货”为发展铺垫[16] 僵尸网络发展趋势 大国网络空间博弈的重要武器 - 僵尸网络成国家间网络对抗武器，可瘫痪关键基础设施、散布谣言、打压特定领域，如《黑神话：悟空》《高性能开源AI大模型》被攻击，美国大选、法国逮捕事件、乌克兰广播电视系统被操控等[18] - 民众用僵尸网络表达政治立场或参与阵营之争，如美国大选、法国逮捕Telegram创始人引发DDoS攻击，影响国际关系、引发网络安全讨论、引起公众关注反思[19][22][25] - 僵尸网络被用于操控舆论、恶意宣传，如绿盟科技监测到的团伙诋毁我国形象、攻击美国，“Bigpanzi”家族传播信息影响社会稳定[26][29] - 僵尸网络紧跟时事热点精准打击，如《黑神话：悟空》《巴黎奥运会》期间的攻击，可能是对国家文化输出的打压[31][33] - 乌克兰IT志愿军长期发动网络攻击，通过官网和Telegram群组宣传、指导，对敌方银行系统攻击，其全民参与式攻击开辟获取“肉鸡”新思路，威胁难治理[36][37][39] 高级威胁攻击的前置 - 僵尸网络与高级威胁结合紧密，在APT或勒索活动中作用大，网络安全治理要考虑威胁关系[43] - 僵尸网络用于情报收集，Linux/IoT和Windows平台多个家族具备信息搜集功能[44][45] - 僵尸网络被利用分发钓鱼邮件，如Phorpiex、Necurs等家族[46] - 僵尸网络用作投递武器的媒介，Windows和Linux/IoT平台僵尸网络有分发攻击工具的能力[49] - 僵尸网络可充当代理服务器，如Pink僵尸网络提供Socks5代理服务[52] - 开源RAT受APT团伙青睐，集多种功能于一身的恶意软件增长，用途取决于使用者[53][55] 僵尸网络漏洞利用情况、传播情况 传播方式分析 - 2024年Linux/IoT平台木马用漏洞和弱口令传播，老旧漏洞使用频率高，攻击者倾向用独立传播模块[60][63] - Windows平台僵尸网络主要通过钓鱼邮件和社会工程学手段传播，“银狐”组织是典型，通过多种诱饵策略传播Gh0st变种[67][69] 感染范围分析 - 美国境内受感染设备数量最多，占比45%，印度、俄罗斯、巴西依次位列其后[70] - 经济发达地区易成传播重灾区，印度有较多站点被攻陷用于传播恶意软件，国内河南、山西、湖南、山东、辽宁下马地址数量排名前五，地域性差异受经济、互联网、法制因素影响[71][74][77] 僵尸网络攻击活动分析 攻击活动分析 - 2024年Mirai攻击活动最频繁，下发指令数占总监测数68%，9月攻击指令数达峰值，中国是遭受DDoS攻击最多的国家，占34%，国内山东、香港、湖北、浙江、江苏受攻击最严重，僵尸网络倾向用UDP FLOOD攻击[79][80][82] 控制地址分析 - Mozi传播量最多，Mirai控制C&C数量最多，年底新增C&C数量最多，源自Mirai源码的新家族C&C数量增长[88] - 僵尸网络控制C&C主要集中在美国，占总数15%，5000余C&C分布于400多家运营商/云服务商，海外云服务提供商允许匿名注册为攻击者提供便利[90][94] 僵尸网络的发展与对抗 僵尸网络对抗愈加激烈 - Linux/IoT平台恶意软件文件侧对抗升级，引入shc、Kiteshield Packer等壳技术，shc易用隐蔽，Kiteshield Packer检测率低[98][101][102] - Linux/IoT平台木马流量侧对抗激烈，Mirai_nomi变种引入DGA算法规避检测，生成备选域名并查询，应用速变IP技术[103] - 新兴僵尸网络家族xorbot有反追踪特性，上线被动，加强隐匿性，困扰捕获新增C&C方案[106] - 新型僵尸网络家族Zergeca采用DOH技术提升通信隐蔽性，防范安全风险、解决劫持问题、优化网络连接[109] - 新型僵尸网络家族Smargaft滥用币安智能合约托管C&C，利用JSON交互，使用“latest”字段规避检测[111] - 僵尸网络团伙探索ssh新用法，利用其建立隧道投递样本或窃取信息，ssh木马种类多[115] - 攻击者利用QEMU作为隧道工具进行内网穿透，建立隧道绕过防火墙，对系统性能影响小[116] - 攻击者滥用反病毒软件旧版本内核驱动程序终止杀软，绕过防护[120] - 多个僵尸网络家族引入OpenNIC域名，减小被监测接管可能性，但存在解析问题[122] - 僵尸网络家族引入STUN协议获取肉鸡公网地址和端口信息，用于精准攻击[123] 新兴家族层出不穷 - 2024年多个基于Mirai源代码的新型僵尸网络家族出现，部分变种活跃壮大[125] - gayfemboy瞄准国内设备，用漏洞和弱口令传播，具备隐匿性、对抗性和多种功能，黑龙江和天津受害严重[126][128] - Labot发展迅速，构建C&C基础设施，入侵新设备并发起攻击，受影响国家包括美国、意大利等[129][131] - Moobot_webserv有独特指令解析模块，添加新功能，实现自更新、文件下载等，C&C域名疑似与俄罗斯有关[132][133] - gorillabot在9月活跃，下发30余万条攻击指令，攻击中美等100多个国家，支持多种CPU架构，具备多种能力[136][138] - TBOT采用分组模式，规模庞大，功能为DDoS攻击，目标全球，使用OpenNIC域名，具备漏洞利用能力，中国等地区受感染设备多[139][141] - catddos攻击活动增加，出现Telegram群组宣传销售，关停后出现新变种，攻击目标遍布全球多个领域[142][143] - Zergeca以DDoS攻击为核心，具备多种能力，采用Go语言，支持多种DNS解析方式，利用Smux库实现C2通信[144][147] - 银狐活跃于Windows平台，传播新变种，集成多种对抗手法，如改写防火墙规则、利用企业软件、创建计划任务、注入技术、绕过UAC等[148][150][151] 僵尸网络团伙活跃频繁 - Hail团伙控制的hailbot攻击活动频繁，C&C数量增长，攻击70多个国家，巴西、美国、中国受攻击严重，该团伙从木马载荷托管转向DDoS攻击[152] - KekSec团伙新增运营hbot和HAEDBot两个家族，hbot支持多种DDoS攻击方式，HAEDBot隐匿性强，支持多种功能和攻击方式[155][157] - Bigpanzi团伙活跃八年，通过盗版应用和固件更新感染设备，样本格式多，具备对抗性，危害不限于DDoS攻击，可传播信息[159] 未来展望——僵尸网络发展趋势预测 未提及相关内容

报告行业投资评级 未提及 报告的核心观点 - 2024年网络威胁常态化，APT攻击成突出风险源，归因是防御关键 [21] - 绿盟科技与广州大学合作打造平台、系统，联合撰写年鉴，梳理APT组织情况，为应对威胁提供参考 [22] - 年鉴构建数据库，分析新增APT组织，解析战术战法，监测预警多模态数据，收录学术成果，助力网络安全防御提升 [25][26] 根据相关目录分别进行总结 卷首语 - 2024年全球局势复杂，网络攻击严峻，APT攻击威胁大，归因是防御挑战环节 [21] - APT组织活动智能化，传统防御策略成效渐微，“未知对抗狩猎，已知情报追踪”成新模式 [22] - 绿盟科技与广州大学合作打造平台和系统，联合撰写年鉴，梳理APT组织情况，罗列新增组织画像图鉴 [22] 前言 未提及具体内容 APT归因追踪态势分析 APT组织活跃统计 - 2024年监测到51个APT组织活动线索，4 - 6月活跃组织超25个 [33] 活跃排名总览 - 2024年监测的51个活跃APT组织中，最活跃的10个为APTJC - JR - 001、TA505等 [36] 组织主控主机区域分析 - 境内团伙主控主机区域：安徽、江苏、广东占比排名前三，反映APT组织基础设施布局分散化 [38] - 境外团伙主控主机区域：美国占比34%远超其他国家，源于其互联网基础设施和技术优势 [41] 活跃度分析 - 2月攻击源数目达年度高峰，可能受地缘政治事件刺激；攻击主要集中在5月和7月，与地区局势紧张有关 [43][45] 受害目标分析 - 受害目标规模：监测到的51个APT组织活动中，24027个IP主机受攻击，TA505组织影响主机占比82% [47] - 受害目标行业：教育医疗、企业、运营商和金融行业受影响严重，与政治、科技竞争和经济利益有关 [50] - 受害目标地理区域：上海是2024年APT组织攻击重点目标地区，占比95% [52] - 受害者月份趋势分析：攻击主要集中在7月，TA505组织影响主机数量多，可能利用僵尸网络扩大攻击 [55] 攻击手段分析 - SSH暴力破解攻击和远程桌面协议RDP暴力破解攻击合计占比91%，攻击者通过漏洞利用等获取初始访问权限 [58] APT组织情报分析 APT组织情报数量统计 - 2024年收录APT组织相关分析报告241份，Turla Group报告数量最多；新增55个APT组织，总数达620个 [63][64] - 2024年公开分析74个APT组织，lazarus组织披露IOC数量7006个为年度之最 [64] APT组织活跃时间分析 - 2024年APT组织活跃有季节性波动，与全球政治经济形势、重大事件和技术进步等因素相关 [67] APT组织目标分析 - 2024年高级威胁活动集中在俄乌、中东等热点地区，政府机构、国防军工等是受关注行业 [70] - 对我国攻击集中在政府机构、教育等5个行业，APT组织常利用供应链漏洞攻击 [73] 漏洞利用分析 - 2024年国家漏洞库披露漏洞18782个，同比增加0.79%，中高危漏洞增长显著，新兴技术领域成安全漏洞重点领域 [76] - 列举多个APT组织利用漏洞发起攻击的情况，如APT32利用Microsoft Exchange Server相关漏洞 [77] APT组织追踪关键技术 面向APT家族分析的攻击路径预测方法研究 - 提出APT攻击路径还原及预测方法，构建恶意行为基因库，采用隐马尔可夫模型（HMM）还原和预测攻击路径，预测准确率超90% [79] - 基于HMM进行APT路径还原与预测分参数估计和攻击还原预测两阶段 [80] - 确定APT攻击路径的隐藏状态集和可见状态集，通过可观测序列还原模型参数并预测 [87][89] CDTier: A Chinese Dataset of Threat Intelligence Entity Relationships - 构建中文CTI实体关系数据集CDTier，包括威胁实体提取和实体关系提取数据集，训练模型提取知识对象及关系更准确 [94][95] - 定义攻击者、工具等5个实体和别名、相关等11种实体关系类型 [100][102] - 数据收集来自13家安全公司的200份开源中文威胁情报，采用BIO标签和KMP算法进行标注 [110][113][114] 2024年新增APT组织情报图鉴 - 介绍55个新增APT组织，包括组织名、中文名、地理、目标行业、动机、描述、知识关联和最近发布报告等信息，如Citrine Sleet针对金融机构获取经济利益 [121]

行业投资评级 - 报告未明确给出行业投资评级 [1][2][3] 核心观点 - 低空经济作为新兴领域，凭借其创新能力和巨大发展潜力，正成为推动经济增长的重要力量 [11] - 低空经济的快速发展带来了网络安全问题，构建系统化、全方位的网络安全体系是当务之急 [11] - 低空经济网络安全风险具有高度复杂性和动态性，需要建立灵活、全面的防护机制 [11] - 报告提出以业务体系为基石、产业合作体系为支撑、威胁定级与应急防护体系为核心、供应链安全体系为保障的综合性体系框架 [11] 行业动态 - 低空经济正迅速成为全球经济的新引擎，展现出巨大的发展潜力和广阔的市场前景 [20] - 2023年全球低空经济核心产业市场规模达2.08万亿元，预计2024年将达到2.32万亿元，未来五年复合增速为11.51% [27] - 北美市场在全球低空经济中占据领先地位，市场份额超过40%，亚太地区尤其是中国在无人机应用和智慧城市建设方面占据优势 [27][29] 市场参与者 - 中孚信息构建了低空环境下的电磁空间安全防御体系，完成了针对低空环境的电磁检测、区域监测、移动终端精准定位等产品的研制 [31] - 信安世纪推出了低空共享无人机数据全生命周期加密方案，解决无人机重要数据在全生命周期流转中的安全问题 [32] - 新晨科技聚焦面向飞行与空域安全保障的低空保障体系，将大数据、人工智能等前沿技术与空管传统技术融合 [34] - 中国电科提供无人机防御体系整体解决方案，构建多源感知、分级防控、空地协同的"低空雪亮"监管技术体系 [36][37] 标准及政策 - 低空经济网络安全相关的标准与政策已初步构建起多层次的框架，涵盖国际、国家、行业及地方各个层面 [48] - 国际标准包括ISO/IEC 27032、ISO/IEC 22460-2等，国家标准包括GB/T38931-2020、GB/T43551-2023等 [50][52][55] - 地方政策如北京市、上海市、广东省等均出台了促进低空经济产业高质量发展的行动方案 [60] 网络安全风险 - 低空经济的网络安全风险呈现多样化和复杂化趋势，涉及人机协同作业、系统兼容性、通信可靠性、非法飞行等多方面 [64] - 主要风险包括技术故障、人为操作失误、环境因素、系统兼容性、通信可靠性、非法飞行、隐私安全、数据安全、供应链安全等 [66][70][71][72] 网络安全体系 - 低空经济网络安全体系包括业务体系、产业合作体系、威胁定级与应急防护体系、供应链安全体系 [76] - 业务体系强调将安全因素融入业务决策流程，产业合作体系强调产学研用管多方的协同合作 [76] - 威胁定级与应急防护体系聚焦安全威胁的分类分级和应急处置，供应链安全体系着眼于生产制造全链条的安全管理 [76] 趋势展望 - 低空经济网络安全预计将呈现体系化、智能化、标准化和服务化四大趋势 [126] - 具体技术如数据安全、密码体系、能源安全、人机协作、反无人机技术和软件安全将进一步提升网络安全水平 [127] - 未来网络安全将向体系化防御转变，构建全方位、多层次、立体化的网络安全防御体系 [129]

行业投资评级 - 低空经济作为新兴领域，展现出巨大的发展潜力和广阔的市场前景，2023年全球低空经济核心产业市场规模达2.08万亿元，预计2024年将达到2.32万亿元，未来五年复合增速为11.51% [14][16] 核心观点 - 低空经济的快速发展带来了网络安全问题的凸显，网络攻击、数据泄露、系统瘫痪等安全事件可能带来经济损失并威胁公共安全和国家安 [2] - 低空经济网络安全风险具有高度的复杂性和动态性，需要建立灵活、全面的防护机制 [2] - 低空经济网络安全体系应以业务体系为基石、产业合作体系为支撑、威胁定级与应急防护体系为核心、供应链安全体系为保障 [7] 低空经济发展概况 - 低空经济核心在于利用低空空域资源，通过各类有人驾驶和无人驾驶航空器的低空飞行活动推动相关领域的融合发展 [12] - 低空空域通常指垂直高度1000米以下，根据实际需要延伸至不超过3000米的空域 [12] - 2023年全球低空经济核心产业市场规模达2.08万亿元，预计2024年将达到2.32万亿元，未来五年复合增速为11.51% [14] - 全球低空经济产业发展呈现地区差异，北美市场份额超过40%，亚太地区尤其是中国展现出巨大的市场发展潜力 [14] - 全球低空经济产业涌现出一批优秀企业，如大疆创新、Joby Aviation、Lilium、Volocopter等 [15] 低空经济网络安全市场参与者 - 中孚信息构建了低空环境下的电磁空间安全防御体系，完成了针对低空环境的电磁检测、区域监测、移动终端精准定位、车辆GPS防跟踪等产品的研制工作 [17] - 信安世纪推出了"低空共享无人机数据全生命周期加密方案"，致力于解决无人机重要数据在全生命周期流转过程中的各类安全问题 [19] - 新晨科技聚焦面向飞行与空域安全保障的低空保障体系，将大数据、人工智能等前沿技术与空管传统技术和设备融合 [20] - 中国电科提供无人机防御体系整体解决方案，构建多源感知、分级防控、空地协同的"低空雪亮"监管技术体系 [20] 低空经济网络安全相关标准及政策 - 低空经济网络安全相关的标准与政策已初步构建起一个多层次的框架，涵盖国际、国家、行业及地方各个层面 [26] - 现有标准、政策仍有待进一步细化和完善，明确各部门职责，建立全面的安全管理标准体系 [26] - 相关标准包括ISO/IEC 22460-2、ISO/IEC 27001、ISO/IEC 27032、ISO/IEC 15408、EUROCAE ED-12C/DO-178C等国际标准，以及《无人驾驶航空器飞行管理暂行条例》、GB 42590-2023等国家标准 [28] 低空经济网络安全风险 - 低空经济的网络安全风险呈现出多样化和复杂化的趋势，涉及人机协同作业、系统兼容性、通信可靠性、非法飞行以及网络安全等多方面 [31] - 人机协同作业风险包括技术故障、人为操作失误和环境因素等 [32] - 通信系统的可靠性风险包括信号干扰、传输延迟、连接中断、数据失真及安全漏洞等 [33] - 系统间的兼容性风险可能导致信息传递错误或系统崩溃 [34] - 无人机非法飞行风险可能违反空域管理规定，对民用航空器和其他空中设施构成威胁 [35] - 网络安全风险包括供应链安全风险、系统安全风险、身份认证风险、通信安全风险、数据安全风险和隐私安全风险 [37] 低空经济网络安全体系 - 低空经济网络安全业务体系重点在于将安全因素深度融入业务决策流程，确保安全措施得以全面落实 [41] - 产业合作体系强调产学研用管多方的协同合作，完善相关政策、加强监管、推动技术创新和标准制定 [41] - 威胁定级与应急防护体系聚焦安全威胁的分类分级和应急处置，构建低空经济网络安全的主动防御能力 [41] - 供应链安全体系着眼于生产制造全链条的安全管理，确保低空经济供应链的安全可控 [41] - 低空网联体系中的安全要素包括装备体系安全、网络数据安全和电磁频谱安全 [42] - 装备体系安全侧重硬件保护和系统稳定，涵盖低空载具、信息物理基础设施和空中交通管理装备 [44] - 网络数据安全旨在防泄露、抗攻击，保护系统和隐私 [44] - 电磁频谱安全是确保低空网联体系通信稳定与可靠的核心部分 [45] 低空经济网络安全趋势展望 - 低空经济网络安全预计将呈现四大趋势：体系化、智能化、标准化和服务化 [68] - 体系化方面，通过整合多种技术手段，打造覆盖不同层面的防御架构 [68] - 智能化则借助人工智能，实现威胁的自动识别和应对 [68] - 标准化将推动制定一系列适应多样化应用场景的网络安全标准和政策 [68] - 服务化强调提供更加灵活和高效的安全服务解决方案 [68] - 具体技术包括数据安全、密码体系、能源安全、人机协作、反无人机技术和软件安全等 [68] 绿盟科技在低空网络安全领域的成果 - 绿盟科技在低空网络安全领域拥有丰富的无人机漏洞挖掘经验，开发了9大类无人机漏洞挖掘辅助工具 [24] - 绿盟科技国内首家实现无人机攻防靶场，靶场已应用于教育教学和设备安全检测与评估行业 [24]

绿盟科技集团简介 - 绿盟科技集团股份有限公司成立于2000年4月,总部位于北京 [2] - 公司于2014年1月29日在深圳证券交易所创业板上市,证券代码为300369 [2] - 绿盟科技在国内设有40多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务 [2] - 公司在美国硅谷、日本东京、英国伦敦、新加坡设立海外子公司,深入开展全球业务,打造全球网络安全行业的中国品牌 [2] 绿盟科技星云实验室 - 绿盟科技星云实验室专注于云计算安全、云原生安全、解决方案研究与虚拟化网络安全问题研究 [3] - 基于IaaS环境的安全防护,利用SDN/NFV等新技术和新理念,提出了软件定义安全的云安全防护体系 [3] - 承担并完成多个国家、省、市以及行业重点单位创新研究课题,已成功孵化落地绿盟科技云安全解决方案、绿盟科技云原生安全解决方案 [3] 版权声明 - 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属绿盟科技所有,受到有关产权及版权法保护 [4] - 任何个人、机构未经绿盟科技的书面授权许可,不得以任何方式复制或引用本文的任何片断 [4]