CONTENTS关于绿盟科技 绿盟科技集团股份有限公司（以下简称绿盟科技），成立于 2000 年 4 月，总部位于北京。公司于 2014 年 1 月 29 日起在深圳证券交易 所创业板 上市，证券代码：300369。绿盟科技在国内设有 40 多个分支 机构， 为政府、 运营商、 金融、 能源、 互联网以及教育、 医疗等行业用户， 提供全线网络安全产品、全方位安全解决方案和体系化安全运营服务。 公司在美国 硅谷、日本东京、英国伦敦、新加坡设立海外子公司，深入 开展全球业务，打造全球网络安全行业的中国品牌。 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程 等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权 法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式 复制或引用本文的任何片断。关于伏影实验室 专注于安全威胁监测与对抗技术的研究，涵盖 APT 高级威胁、 Botnet、DDoS 对抗、流行服务漏洞利用、黑灰产业链威胁及数字资产 等新兴领域。 研究目标是掌握现有网络威胁，识别并追踪新型威胁，精准溯源与 反制威胁，降低风险影响，为威胁对抗提供有力决策支持。 采用前沿技术探索与实战对抗相结合的研究模式，协助国家单位破 获 APT 攻击案件数起，全球率先发现 8 个新型 APT 攻击组织，处置 40 多起涉我 APT 攻击事件，为国家重大网络安保做出突出贡献。01 执行摘要 1 02 僵尸网络发展趋势 3 2.1 大国网络空间博弈的重要武器 4 2.2 高级威胁攻击的前置 10 03 僵尸网络漏洞利用情况、传播情况 14 3.1 传播方式分析 15 3.2 感染范围分析 17 04 僵尸网络攻击活动分析 19 4.1 攻击活动分析 20 4.2 控制地址分析 2205 僵尸网络的发展与对抗 25 5.1 僵尸网络对抗愈加激烈 26 5.2 新兴家族层出不穷 32 5.3 僵尸网络团伙活跃频繁 38 06 未来展望——僵尸网络发展趋势预测 42 执行摘要012 2024 BOTNET 趋势报告2024年， 全球遭遇了空前的动荡与挑战， 国际政治格局深刻调整， 全球经济形势错综复杂， 科技创新与社会文化激烈碰撞。 在此背景下， 网络空间成为大国间 “兵家必争之地” ， 暗潮涌动。 作为高级势力重要工具的僵尸网络被赋予了新的使命，有了新的用途。 僵尸网络成为大国网络空间博弈利器。 近年来， 在俄乌战争及巴以冲突等重大地缘事件中， 均监测到僵尸网络发起过DDoS攻击活动。僵尸网络经常被用来发起针对对手国家的高强度 网络攻击，导致其关键基础设施瘫痪；或是通过僵尸网络操控舆论，进行恶意宣传，以期达 到分化敌对国家的目的；此外，攻击者还利用僵尸网络在特定时期发起网络攻击活动来表达 政治立场以及参与阵营之争，从而间接影响最终决策。 僵尸网络威胁态势日益严峻。2024年，僵尸网络所控制的C&C数量及发起的攻击活动 次数再创新高，其中极大比例的攻击活动针对国内关键基础设施；在众多僵尸网络家族中， Mirai家族最为活跃，Mozi木马的传播量持续保持高位；感染方式上，Linux/IoT平台漏洞入 侵方式依然占据主导地位，Windows平台各种新的社工手法层出不穷。 僵尸网络成为高级威胁攻击的“跳板”。APT或勒索团伙利用僵尸网络节点收集目标环 境的情报信息，进而投递后续攻击组件；或者利用已获取的立足点分发邮件，充当代理，为 后续攻击做准备；此外，一些恶意软件集成了勒索、DDoS、窃密等多重功能，通过模块化 组件的形式下发，这些工具落入不同的组织便有了不同的用途。 僵尸网络新家族展现出日益增强的对抗性。相较于Windows平台，Linux/IoT僵尸网络 文件侧的对抗相对较弱，早期多以变形的UPX壳为主，但近年来攻击者提高了文件侧隐匿性 的重视程度， 逐渐引入shc、 Kiteshield Packer等壳技术来降低杀毒软件的检测率；流量层面， 对抗依然激烈，攻击者利用DGA、DOH、OpenNIC、币安智能合约托管C&C等技术手段来 减少被检测的概率，或是设计复杂的通信逻辑以避免被安全研究人员追踪。此外，本年度攻 击者对ssh协议的关注度显著提升，他们尝试各种ssh利用技术，以求通过更高效的方式分 发恶意软件或窃取数据。 僵尸网络新团伙相继加入借助社交平台进行宣传的行列。xorbot与catddos等僵尸网络家 族的控制者，在其演进历程中，逐渐学习了老牌僵尸网络团伙的成熟策略，转而利用社交平台 作为宣传阵地，并通过诸如Telegram等隐私性较强的社交渠道来统一租赁或售卖他们所控制 的资源。这一行为特征极大程度上印证了我们先前的预测。这些团伙在发展的早期阶段通过社 交媒体进行“带货”，以提高知名度，吸引投资或直接获取收益，进而为后续的发展做铺垫。02 僵尸网络 发展趋势