信息來源:FreeBuf
2017年���,用于管理物聯(lián)網(wǎng)僵尸網(wǎng)絡的命令和控制(C&C)服務器數(shù)量增加了一倍多�����,從2016年的393臺增至2017年的943臺。這個數(shù)字是根據(jù)Spamhaus提供的統(tǒng)計數(shù)據(jù)���,它將濫用網(wǎng)絡主機的數(shù)據(jù)作為黑名單的一部分進行匯總�����。
僵尸網(wǎng)絡IP總量增長了32%
在過去一年的總結報告中��,Spamhaus表示�,2017年有超過9,500個新的僵尸網(wǎng)絡C&C服務器�����,比上一年增加了32%�。該數(shù)字包括由多種設備組成的僵尸網(wǎng)絡C&C服務器的IP地址,而不僅僅是物聯(lián)網(wǎng)設備���。
9,500+的數(shù)字還包括探測到的用于各種網(wǎng)絡犯罪活動的C&C服務器�����,例如用于控制DD0S僵尸網(wǎng)絡�����,垃圾郵件網(wǎng)絡�,銀行木馬,還有騙子用來從網(wǎng)絡釣魚工具和infostealer惡意軟件發(fā)送收集的數(shù)據(jù)的服務器���。
騙子更熱衷購買服務器而不是黑客
Spamhaus表示��,在2017年突然出現(xiàn)的9,500個新僵尸網(wǎng)絡C&C服務器中��,絕大多數(shù)(6,588個IP地址���,占總數(shù)的68%)是從Web主機供應商購買單個服務器的IP地址,專門用于托管惡意軟件�����。
而其余部分則是被黑客入侵的服務器上托管的僵尸網(wǎng)絡C&C服務器��。據(jù)報道��,用于惡意軟件和網(wǎng)絡犯罪活動購買的和被黑的服務器比例與2016年保持一致。
Pony在C&C服務器中應用最為普遍
被Spamhaus收錄的C&C服務器最常見的一類被用于一種信息竊取木馬Pony�,它可以從受感染的設備收集密碼,并可選擇丟棄其他惡意軟件�����。
由于物聯(lián)網(wǎng)惡意軟件通?����;ハ嘌莼?,惡意軟件系列之間相互交織在一起��,不同的物聯(lián)網(wǎng)僵尸網(wǎng)絡的探測也會被整合到一起�。在綜合排名中,物聯(lián)網(wǎng)僵尸網(wǎng)絡在2017年發(fā)現(xiàn)最常見的C&C服務器中排名第二��。
以下是Spamhaus收錄的20種最常見的僵尸網(wǎng)絡C&C服務器的圖表�����,以及Spamhaus報告中發(fā)布的其他統(tǒng)計數(shù)據(jù)�。
在2014年統(tǒng)治排行榜之后,被用于ZeuS銀行木馬的C&C服務器跌出了TOP20�;
Cerber位居第七名�,而勒索軟件從2016年開始排名就發(fā)生變化�����,Locky 和TorrentLocker勒索軟件跌出TOP20�;
基于Java的勒索軟件在去年一整年都非常流行,像JBifrost (#6) 和 Adwind (#11)這兩個基于Java的遠程訪問工具進入了TOP20���;
OVH和亞馬遜托管著最多的BCL記錄�����。
C&C服務器域名的25%是通過Namecheap注冊
但除IP地址外�����,Spamhaus還跟蹤并創(chuàng)建了一個域名黑名單—— Spamhaus DBL�����,以防騙子決定將C&C服務器隱藏在通用域名而不是IP地址之后���。
Spamhaus說,騙子通常更喜歡使用域名,租用VPS系統(tǒng)而不是IP地址和被黑的服務器��。這些組織的專家解釋如下:
為了托管他們的僵尸網(wǎng)絡控制器�����,網(wǎng)絡犯罪分子通常更愿意使用專門注冊的域名�����。這是因為專用域名允許網(wǎng)絡犯罪分子啟動新的VPS��,加載僵尸網(wǎng)絡控制器工具包���,并在他主機提供商關閉其C&C服務器之后立即重新聯(lián)系僵尸網(wǎng)絡。無需更改僵尸網(wǎng)絡中每個受感染計算機的配置是主要優(yōu)勢�。
在年終統(tǒng)計中,很容易看到這種C&C服務器使用域名而非IP地址的的好處���。據(jù)Spamhaus介紹�����,該組織的DBL在2017年記錄了超過50,000個用于僵尸網(wǎng)絡C&C服務器的新域名�。
根據(jù)Spamhaus數(shù)據(jù),騙子通常使用.com和.pw域名�,并通過美國域名注冊商Namecheap注冊了超過四分之一的C&C僵尸網(wǎng)絡服務器。
