报告行业投资评级 未提及相关内容 报告的核心观点 - 2024年僵尸网络成为大国网络空间博弈利器，威胁态势严峻，成为高级威胁攻击“跳板”，新家族对抗性增强，新团伙借助社交平台宣传[14][15][16] - 需持续监测僵尸网络活动并治理节点，网络安全治理要考虑各类威胁复杂关系，及时发现并应对新对抗技术[18][43][97] 根据相关目录分别进行总结 执行摘要 - 2024年国际形势下网络空间暗潮涌动，僵尸网络有新使命用途，威胁态势严峻，C&C数量和攻击活动次数创新高，Mirai家族活跃，Linux/IoT平台漏洞入侵为主，Windows平台社工手法多[14] - 僵尸网络成高级威胁攻击“跳板”，新家族对抗性增强，文件侧引入新壳技术，流量侧用多种技术减少被检测概率，攻击者关注ssh协议[15] - 僵尸网络新团伙借助社交平台宣传，通过社交渠道租赁或售卖资源，早期“带货”为发展铺垫[16] 僵尸网络发展趋势 大国网络空间博弈的重要武器 - 僵尸网络成国家间网络对抗武器，可瘫痪关键基础设施、散布谣言、打压特定领域，如《黑神话：悟空》《高性能开源AI大模型》被攻击，美国大选、法国逮捕事件、乌克兰广播电视系统被操控等[18] - 民众用僵尸网络表达政治立场或参与阵营之争，如美国大选、法国逮捕Telegram创始人引发DDoS攻击，影响国际关系、引发网络安全讨论、引起公众关注反思[19][22][25] - 僵尸网络被用于操控舆论、恶意宣传，如绿盟科技监测到的团伙诋毁我国形象、攻击美国，“Bigpanzi”家族传播信息影响社会稳定[26][29] - 僵尸网络紧跟时事热点精准打击，如《黑神话：悟空》《巴黎奥运会》期间的攻击，可能是对国家文化输出的打压[31][33] - 乌克兰IT志愿军长期发动网络攻击，通过官网和Telegram群组宣传、指导，对敌方银行系统攻击，其全民参与式攻击开辟获取“肉鸡”新思路，威胁难治理[36][37][39] 高级威胁攻击的前置 - 僵尸网络与高级威胁结合紧密，在APT或勒索活动中作用大，网络安全治理要考虑威胁关系[43] - 僵尸网络用于情报收集，Linux/IoT和Windows平台多个家族具备信息搜集功能[44][45] - 僵尸网络被利用分发钓鱼邮件，如Phorpiex、Necurs等家族[46] - 僵尸网络用作投递武器的媒介，Windows和Linux/IoT平台僵尸网络有分发攻击工具的能力[49] - 僵尸网络可充当代理服务器，如Pink僵尸网络提供Socks5代理服务[52] - 开源RAT受APT团伙青睐，集多种功能于一身的恶意软件增长，用途取决于使用者[53][55] 僵尸网络漏洞利用情况、传播情况 传播方式分析 - 2024年Linux/IoT平台木马用漏洞和弱口令传播，老旧漏洞使用频率高，攻击者倾向用独立传播模块[60][63] - Windows平台僵尸网络主要通过钓鱼邮件和社会工程学手段传播，“银狐”组织是典型，通过多种诱饵策略传播Gh0st变种[67][69] 感染范围分析 - 美国境内受感染设备数量最多，占比45%，印度、俄罗斯、巴西依次位列其后[70] - 经济发达地区易成传播重灾区，印度有较多站点被攻陷用于传播恶意软件，国内河南、山西、湖南、山东、辽宁下马地址数量排名前五，地域性差异受经济、互联网、法制因素影响[71][74][77] 僵尸网络攻击活动分析 攻击活动分析 - 2024年Mirai攻击活动最频繁，下发指令数占总监测数68%，9月攻击指令数达峰值，中国是遭受DDoS攻击最多的国家，占34%，国内山东、香港、湖北、浙江、江苏受攻击最严重，僵尸网络倾向用UDP FLOOD攻击[79][80][82] 控制地址分析 - Mozi传播量最多，Mirai控制C&C数量最多，年底新增C&C数量最多，源自Mirai源码的新家族C&C数量增长[88] - 僵尸网络控制C&C主要集中在美国，占总数15%，5000余C&C分布于400多家运营商/云服务商，海外云服务提供商允许匿名注册为攻击者提供便利[90][94] 僵尸网络的发展与对抗 僵尸网络对抗愈加激烈 - Linux/IoT平台恶意软件文件侧对抗升级，引入shc、Kiteshield Packer等壳技术，shc易用隐蔽，Kiteshield Packer检测率低[98][101][102] - Linux/IoT平台木马流量侧对抗激烈，Mirai_nomi变种引入DGA算法规避检测，生成备选域名并查询，应用速变IP技术[103] - 新兴僵尸网络家族xorbot有反追踪特性，上线被动，加强隐匿性，困扰捕获新增C&C方案[106] - 新型僵尸网络家族Zergeca采用DOH技术提升通信隐蔽性，防范安全风险、解决劫持问题、优化网络连接[109] - 新型僵尸网络家族Smargaft滥用币安智能合约托管C&C，利用JSON交互，使用“latest”字段规避检测[111] - 僵尸网络团伙探索ssh新用法，利用其建立隧道投递样本或窃取信息，ssh木马种类多[115] - 攻击者利用QEMU作为隧道工具进行内网穿透，建立隧道绕过防火墙，对系统性能影响小[116] - 攻击者滥用反病毒软件旧版本内核驱动程序终止杀软，绕过防护[120] - 多个僵尸网络家族引入OpenNIC域名，减小被监测接管可能性，但存在解析问题[122] - 僵尸网络家族引入STUN协议获取肉鸡公网地址和端口信息，用于精准攻击[123] 新兴家族层出不穷 - 2024年多个基于Mirai源代码的新型僵尸网络家族出现，部分变种活跃壮大[125] - gayfemboy瞄准国内设备，用漏洞和弱口令传播，具备隐匿性、对抗性和多种功能，黑龙江和天津受害严重[126][128] - Labot发展迅速，构建C&C基础设施，入侵新设备并发起攻击，受影响国家包括美国、意大利等[129][131] - Moobot_webserv有独特指令解析模块，添加新功能，实现自更新、文件下载等，C&C域名疑似与俄罗斯有关[132][133] - gorillabot在9月活跃，下发30余万条攻击指令，攻击中美等100多个国家，支持多种CPU架构，具备多种能力[136][138] - TBOT采用分组模式，规模庞大，功能为DDoS攻击，目标全球，使用OpenNIC域名，具备漏洞利用能力，中国等地区受感染设备多[139][141] - catddos攻击活动增加，出现Telegram群组宣传销售，关停后出现新变种，攻击目标遍布全球多个领域[142][143] - Zergeca以DDoS攻击为核心，具备多种能力，采用Go语言，支持多种DNS解析方式，利用Smux库实现C2通信[144][147] - 银狐活跃于Windows平台，传播新变种，集成多种对抗手法，如改写防火墙规则、利用企业软件、创建计划任务、注入技术、绕过UAC等[148][150][151] 僵尸网络团伙活跃频繁 - Hail团伙控制的hailbot攻击活动频繁，C&C数量增长，攻击70多个国家，巴西、美国、中国受攻击严重，该团伙从木马载荷托管转向DDoS攻击[152] - KekSec团伙新增运营hbot和HAEDBot两个家族，hbot支持多种DDoS攻击方式，HAEDBot隐匿性强，支持多种功能和攻击方式[155][157] - Bigpanzi团伙活跃八年，通过盗版应用和固件更新感染设备，样本格式多，具备对抗性，危害不限于DDoS攻击，可传播信息[159] 未来展望——僵尸网络发展趋势预测 未提及相关内容