Botnet是網絡惡意行為的手段而非結果，其存在直接體現著“威脅”本身。通過組建Botnet，黑客得以控制大量的網絡資源，獲取強大的攻擊能力。依托于這種攻擊能力，黑客可以使用各種方式獲取非法的經濟利益。

　　近年來，從Gafgyt、Mirai到GoBrut、BigViktor、Mozi、Pink，我們觀察到Botnet升級改造的變化之巨。其非法控制并改造大量的網絡資源，不斷提升攻擊能力，逐漸增加隱匿手段，從而給有限的網絡資源造成了愈發嚴重的損失。

　　在過去的2020年，盡管全球遭受了新冠疫情的襲擊，但僵尸網絡的活動并未受到疫情的影響，更加活躍。

　　基于此，綠盟科技發布《2020 BOTNET趨勢報告》，報告聚焦于Botnet的整體趨勢分析，通過 CNCERT 物聯網威脅情報平臺及綠盟威脅識別系統對Botnet持續監測追蹤獲取的第一手數據，來描述2020年Botnet的整體發展情況以及特色家族的變遷情況，進而對數據進行解讀并提煉觀點。

　　觀點一

　　IoT 環境仍然是各類漏洞攻擊的重災區，且攻擊用到的漏洞年代跨度相對較長；IoT 設備往往運行在長期缺乏人為干預的環境下，由于IoT 廠商眾多，技術水平和設備質量參差不齊并且初始密碼固定，使得攻擊者可以自動化入侵此類設備，構建起數量眾多的僵尸網絡節點。

　　觀點二

　　2020年Botnet與垃圾郵件深度綁定，以新冠肺炎為主題的誘餌郵件散播大量的傳統木馬；2020 年爆發的新冠疫情影響范圍之廣，社會影響力之大，絕非同期其他社會事件可比。惡意郵件僵尸網絡的控制者沒有放過這一絕佳機會，快速構建了各種語言、各種體裁的疫情話題誘餌郵件并大量投放，積極擴大郵件木馬的影響范圍。

　　觀點三

　　DDoS僵尸網絡的家族活動仍然以Mirai和Gafgyt為代表的傳統IoT木馬家族為主。

　　觀點四

　　僵尸網絡在橫向移動方面的探索愈加深入，在漏洞利用方面逐漸具備了 “當天發現，當天利用” 的能力；伏影實驗室在檢測僵尸網絡威脅與網絡攻擊事件時發現，Mirai 變種 Fetch 家族使用了最新的攻擊鏈進行攻擊，而在發現該攻擊事件的前 3 個小時左右，國外論壇才剛剛披露相關利用。這足以說明：僵尸網絡運營者的情報轉化能力已經遠遠超出防御方的固有認知。

　　觀點五

　　僵尸網絡在對抗性方面展現出特殊變化，攻擊者開始針對一些開源的蜜罐進行分析并采取反制策略。

　　觀點六

　　在控制協議方面，僵尸網絡家族加速向 P2P 控制結構轉變。2020年以來，Mozi、BigViktor等使用P2P協議控制僵尸網絡節點的僵尸網絡異常活躍，逐步侵蝕Mirai、Gafgyt等傳統僵尸網絡家族的地盤，盡管新興僵尸網絡家族控制節點數量較少，但由于其控制協議的特殊性，導致這類僵尸網絡很難被關閉。因此，未來Mozi、BigViktor這類以P2P協議為主的僵尸網絡將逐步占據主流地位。

　　觀點七

　　部分僵尸網絡開始改變發展模式，即先聚焦傳播入侵，待占領肉雞而后再完善木馬功能。

　　觀點八

　　僵尸網絡運營者已經能夠將威脅情報、開源社區情報快速轉化為攻擊手段，逐步擴大攻擊、防御的時間差與信息差，通過快速部署和迭代，持續提升對互聯網設備和用戶的威脅能力。

　　觀點九

　　Botnet控制者的行為愈發謹慎，頭部運營者控制的僵尸網絡不斷向高隱匿性發展。

　　觀點十

　　APT組織攻擊平臺多樣化。