Botnet 一直以来都是互联网环境中不可忽视的危害。作为一种常见的恶意程序,它具有较强的隐蔽性,兼具 蠕虫、木马的特征。Botnet 程序能够通过漏洞或者其他脆弱性获取目标主机的控制权,可以窃取目标主机中的信 息或者操纵目标进行网络攻击。Botnet 对受控主机乃至整个网络环境都有极大的危害。
一般来说,黑客在初始阶段会通过欺骗或者漏洞利用的方式进入受害主机,这时“寄生”在受害主机中的往 往只是一个简单的加载程序。然后加载程序通过访问远程主机,下载必要的程序代码,完成核心功能的安装。此 时,黑客拥有了对目标主机的控制权,接下来,黑客可以盗取目标主机中的敏感信息、加密重要的文件进行勒索, 或者通过控制主机 (C&C) 发送相关指令控制主机发起攻击行为。黑客利用 Botnet 进行的攻击通常包括:扫描探测、 垃圾邮件、拒绝服务攻击(DDoS)等。
绿盟科技威胁情报中心(NTI)对 Botnet 有持续的跟踪,我们从 Botnet 的活跃度、规模变化和新的技术趋 势方面给出了自己的观察。另外,作为近期在国内监测到的最活跃的 Botnet――“鬼影”,我们对该家族样本进 行了持续的跟踪,并对“鬼影”家族的历史和近期态势进行了详细的梳理。在近期 Botnet 的态势中,我们观察到:
- 近期Botnetd的活动十分猖獗
- Botnet的规模在持续扩大
- 由于物联网的迅速发展,Botnet 的战场局势正在发生明显的变化