Botnet是網(wǎng)絡惡意行為的手段而非結果，其存在直接體現(xiàn)著“威脅”本身。通過組建Botnet，黑客得以控制大量的網(wǎng)絡資源，獲取強大的攻擊能力。依托于這種攻擊能力，黑客可以使用各種方式獲取非法的經濟利益。

　　近年來，從Gafgyt、Mirai到GoBrut、BigViktor、Mozi、Pink，我們觀察到Botnet升級改造的變化之巨。其非法控制并改造大量的網(wǎng)絡資源，不斷提升攻擊能力，逐漸增加隱匿手段，從而給有限的網(wǎng)絡資源造成了愈發(fā)嚴重的損失。

　　在過去的2020年，盡管全球遭受了新冠疫情的襲擊，但僵尸網(wǎng)絡的活動并未受到疫情的影響，更加活躍。

　　基于此，綠盟科技發(fā)布《2020 BOTNET趨勢報告》，報告聚焦于Botnet的整體趨勢分析，通過 CNCERT 物聯(lián)網(wǎng)威脅情報平臺及綠盟威脅識別系統(tǒng)對Botnet持續(xù)監(jiān)測追蹤獲取的第一手數(shù)據(jù)，來描述2020年Botnet的整體發(fā)展情況以及特色家族的變遷情況，進而對數(shù)據(jù)進行解讀并提煉觀點。

　　觀點一

　　IoT 環(huán)境仍然是各類漏洞攻擊的重災區(qū)，且攻擊用到的漏洞年代跨度相對較長；IoT 設備往往運行在長期缺乏人為干預的環(huán)境下，由于IoT 廠商眾多，技術水平和設備質量參差不齊并且初始密碼固定，使得攻擊者可以自動化入侵此類設備，構建起數(shù)量眾多的僵尸網(wǎng)絡節(jié)點。

　　觀點二

　　2020年Botnet與垃圾郵件深度綁定，以新冠肺炎為主題的誘餌郵件散播大量的傳統(tǒng)木馬；2020 年爆發(fā)的新冠疫情影響范圍之廣，社會影響力之大，絕非同期其他社會事件可比。惡意郵件僵尸網(wǎng)絡的控制者沒有放過這一絕佳機會，快速構建了各種語言、各種體裁的疫情話題誘餌郵件并大量投放，積極擴大郵件木馬的影響范圍。

　　觀點三

　　DDoS僵尸網(wǎng)絡的家族活動仍然以Mirai和Gafgyt為代表的傳統(tǒng)IoT木馬家族為主。

　　觀點四

　　僵尸網(wǎng)絡在橫向移動方面的探索愈加深入，在漏洞利用方面逐漸具備了 “當天發(fā)現(xiàn)，當天利用” 的能力；伏影實驗室在檢測僵尸網(wǎng)絡威脅與網(wǎng)絡攻擊事件時發(fā)現(xiàn)，Mirai 變種 Fetch 家族使用了最新的攻擊鏈進行攻擊，而在發(fā)現(xiàn)該攻擊事件的前 3 個小時左右，國外論壇才剛剛披露相關利用。這足以說明：僵尸網(wǎng)絡運營者的情報轉化能力已經遠遠超出防御方的固有認知。

　　觀點五

　　僵尸網(wǎng)絡在對抗性方面展現(xiàn)出特殊變化，攻擊者開始針對一些開源的蜜罐進行分析并采取反制策略。

　　觀點六

　　在控制協(xié)議方面，僵尸網(wǎng)絡家族加速向 P2P 控制結構轉變。2020年以來，Mozi、BigViktor等使用P2P協(xié)議控制僵尸網(wǎng)絡節(jié)點的僵尸網(wǎng)絡異常活躍，逐步侵蝕Mirai、Gafgyt等傳統(tǒng)僵尸網(wǎng)絡家族的地盤，盡管新興僵尸網(wǎng)絡家族控制節(jié)點數(shù)量較少，但由于其控制協(xié)議的特殊性，導致這類僵尸網(wǎng)絡很難被關閉。因此，未來Mozi、BigViktor這類以P2P協(xié)議為主的僵尸網(wǎng)絡將逐步占據(jù)主流地位。

　　觀點七

　　部分僵尸網(wǎng)絡開始改變發(fā)展模式，即先聚焦傳播入侵，待占領肉雞而后再完善木馬功能。

　　觀點八

　　僵尸網(wǎng)絡運營者已經能夠將威脅情報、開源社區(qū)情報快速轉化為攻擊手段，逐步擴大攻擊、防御的時間差與信息差，通過快速部署和迭代，持續(xù)提升對互聯(lián)網(wǎng)設備和用戶的威脅能力。

　　觀點九

　　Botnet控制者的行為愈發(fā)謹慎，頭部運營者控制的僵尸網(wǎng)絡不斷向高隱匿性發(fā)展。

　　觀點十

　　APT組織攻擊平臺多樣化。