文章核心观点 《2025版Botnet趋势报告》由绿盟科技伏影实验室发布，分析2024年僵尸网络发展态势、威胁活动、传播方式、对抗手段等，并对2025年趋势做出预测，指出僵尸网络成为大国博弈武器和高级威胁攻击重要环节，未来将带来更大网络安全挑战 [1]。 僵尸网络发展趋势 成为大国博弈武器 - 重大地缘事件中，僵尸网络用于发起DDoS攻击，瘫痪关键基础设施、操控舆论、表达政治立场，影响国际关系和网络安全秩序 [1] - 2024年我国《黑神话：悟空》上线、高性能开源Al大模型发布，美国大选，法国逮捕Telegram创始人，乌克兰广播电视系统等事件中，僵尸网络多次发起DDoS攻击 [22] 助力高级威胁攻击 - APT或勒索团伙利用僵尸网络进行情报收集、分发钓鱼邮件、投递攻击武器、充当代理，与多种恶意软件关联紧密，是高级威胁攻击重要环节 [1] - 开源RAT因功能全面受APT或勒索团伙青睐，如DcRAT、XWorm、LimeRAT集成多种功能 [45] 僵尸网络的活动情况 传播与感染 - Linux/IoT平台木马利用漏洞和弱口令传播，使用如CVE - 8361等陈旧漏洞，攻击者倾向用独立传播模块 [53] - Windows平台依赖钓鱼邮件和社会工程学手段，如“银狐”通过伪造邮件、社交应用陷阱等散布Gh0st变种 [58] - 美国受感染设备数量占比45%居首，印度、俄罗斯、中国分别占18%、14%和8%；经济发达地区易受攻击，国内河南、山西、湖南、山东和辽宁下马地址数量排名前五 [60] 攻击活动 - Mirai僵尸网络攻击指令最多，2024年下发指令数占总监测数68%，9月攻击指令达峰值超五十万条 [68] - 中国是遭受DDoS攻击最严重的国家，占所有攻击活动34%，国内浙江、广东、山东、湖北和江苏受攻击严重 [70] - 僵尸网络常用UDP FLOOD攻击方式，众多自命名攻击手段本质属UDP泛洪攻击 [67] 控制地址 - Mozi传播量最多，Mirai控制C&C数量最多，年底新增C&C数量最多，源自Mirai源码的新型僵尸网络服务器数量增长 [76] - 僵尸网络控制C&C主要集中在美国，占比15%，其次是荷兰（13%）、印度（10%）和俄罗斯（7%） [76] - 超5000个活跃C&C分布于400多家运营商/云服务商，Bharat Sanchar Nigam Ltd、LeaseWeb Netherlands B.V和Hetzner Online GmbH数量最多 [79] 僵尸网络的发展与对抗 对抗技术升级 - 僵尸网络在流量侧和文件侧引入多种技术对抗监测和查杀，如DGA、DOH、新壳技术、利用ssh和QEMU等 [2] 新兴家族涌现 - 出现多个新型僵尸网络家族，如基于Mirai源码的变种，以及具有独特功能和通信模式的家族，威胁性增加 [3] 团伙活跃频繁 - Hail、KekSec等团伙控制的僵尸网络攻击频繁，还运营新家族，Bigpanzi等新型团伙带来新威胁 [4] 未来趋势预测 未来，僵尸网络将呈现更多国家级背景的攻击，被APT和勒索团伙更高效利用，以盈利为目的的团伙会借助社交平台扩张，木马隐匿性增强，传播方式更隐蔽，给网络安全防御带来更大挑战 [4]