2017年,用于管理物聯網僵尸網絡的命令和控制(C&C)服務器數量增加了一倍多,從2016年的393臺增至2017年的943臺。這個數字是根據Spamhaus提供的統計數據,它將濫用網絡主機的數據作為黑名單的一部分進行匯總。
僵尸網絡IP總量增長了32%
在過去一年的總結報告中,Spamhaus表示,2017年有超過9,500個新的僵尸網絡C&C服務器,比上一年增加了32%。該數字包括由多種設備組成的僵尸網絡C&C服務器的IP地址,而不僅僅是物聯網設備。
9,500+的數字還包括探測到的用于各種網絡犯罪活動的C&C服務器,例如用于控制DD0S僵尸網絡,垃圾郵件網絡,銀行木馬,還有騙子用來從網絡釣魚工具和infostealer惡意軟件發送收集的數據的服務器。
騙子更熱衷購買服務器而不是黑客
Spamhaus表示,在2017年突然出現的9,500個新僵尸網絡C&C服務器中,絕大多數(6,588個IP地址,占總數的68%)是從Web主機供應商購買單個服務器的IP地址,專門用于托管惡意軟件。
而其余部分則是被黑客入侵的服務器上托管的僵尸網絡C&C服務器。據報道,用于惡意軟件和網絡犯罪活動購買的和被黑的服務器比例與2016年保持一致。
Pony在C&C服務器中應用最為普遍
被Spamhaus收錄的C&C服務器最常見的一類被用于一種信息竊取木馬Pony,它可以從受感染的設備收集密碼,并可選擇丟棄其他惡意軟件。
由于物聯網惡意軟件通常互相演化,惡意軟件系列之間相互交織在一起,不同的物聯網僵尸網絡的探測也會被整合到一起。在綜合排名中,物聯網僵尸網絡在2017年發現最常見的C&C服務器中排名第二。
以下是Spamhaus收錄的20種最常見的僵尸網絡C&C服務器的圖表,以及Spamhaus報告中發布的其他統計數據。
在2014年統治排行榜之后,被用于ZeuS銀行木馬的C&C服務器跌出了TOP20;
Cerber位居第七名,而勒索軟件從2016年開始排名就發生變化,Locky 和TorrentLocker勒索軟件跌出TOP20;
基于Java的勒索軟件在去年一整年都非常流行,像JBifrost (#6) 和 Adwind (#11)這兩個基于Java的遠程訪問工具進入了TOP20;
OVH和亞馬遜托管著最多的BCL記錄。
C&C服務器域名的25%是通過Namecheap注冊
但除IP地址外,Spamhaus還跟蹤并創建了一個域名黑名單—— Spamhaus DBL,以防騙子決定將C&C服務器隱藏在通用域名而不是IP地址之后。
Spamhaus說,騙子通常更喜歡使用域名,租用VPS系統而不是IP地址和被黑的服務器。這些組織的專家解釋如下:
為了托管他們的僵尸網絡控制器,網絡犯罪分子通常更愿意使用專門注冊的域名。這是因為專用域名允許網絡犯罪分子啟動新的VPS,加載僵尸網絡控制器工具包,并在他主機提供商關閉其C&C服務器之后立即重新聯系僵尸網絡。無需更改僵尸網絡中每個受感染計算機的配置是主要優勢。
在年終統計中,很容易看到這種C&C服務器使用域名而非IP地址的的好處。據Spamhaus介紹,該組織的DBL在2017年記錄了超過50,000個用于僵尸網絡C&C服務器的新域名。
根據Spamhaus數據,騙子通常使用.com和.pw域名,并通過美國域名注冊商Namecheap注冊了超過四分之一的C&C僵尸網絡服務器。
微信掃一掃
.jpg&h=124&w=218&zc=1)
