2017年,用于管理物联网僵尸网络的命令和控制(C&C)服务器数量增加了一倍多,从2016年的393台增至2017年的943台。这个数字是根据Spamhaus提供的统计数据,它将滥用网络主机的数据作为黑名单的一部分进行汇总。
僵尸网络IP总量增长了32%
在过去一年的总结报告中,Spamhaus表示,2017年有超过9,500个新的僵尸网络C&C服务器,比上一年增加了32%。该数字包括由多种设备组成的僵尸网络C&C服务器的IP地址,而不仅仅是物联网设备。
9,500+的数字还包括探测到的用于各种网络犯罪活动的C&C服务器,例如用于控制DD0S僵尸网络,垃圾邮件网络,银行木马,还有骗子用来从网络钓鱼工具和infostealer恶意软件发送收集的数据的服务器。
骗子更热衷购买服务器而不是黑客
Spamhaus表示,在2017年突然出现的9,500个新僵尸网络C&C服务器中,绝大多数(6,588个IP地址,占总数的68%)是从Web主机供应商购买单个服务器的IP地址,专门用于托管恶意软件。
而其余部分则是被黑客入侵的服务器上托管的僵尸网络C&C服务器。据报道,用于恶意软件和网络犯罪活动购买的和被黑的服务器比例与2016年保持一致。
Pony在C&C服务器中应用最为普遍
被Spamhaus收录的C&C服务器最常见的一类被用于一种信息窃取木马Pony,它可以从受感染的设备收集密码,并可选择丢弃其他恶意软件。
由于物联网恶意软件通常互相演化,恶意软件系列之间相互交织在一起,不同的物联网僵尸网络的探测也会被整合到一起。在综合排名中,物联网僵尸网络在2017年发现最常见的C&C服务器中排名第二。
以下是Spamhaus收录的20种最常见的僵尸网络C&C服务器的图表,以及Spamhaus报告中发布的其他统计数据。
在2014年统治排行榜之后,被用于ZeuS银行木马的C&C服务器跌出了TOP20;
Cerber位居第七名,而勒索软件从2016年开始排名就发生变化,Locky 和TorrentLocker勒索软件跌出TOP20;
基于Java的勒索软件在去年一整年都非常流行,像JBifrost (#6) 和 Adwind (#11)这两个基于Java的远程访问工具进入了TOP20;
OVH和亚马逊托管着最多的BCL记录。
C&C服务器域名的25%是通过Namecheap注册
但除IP地址外,Spamhaus还跟踪并创建了一个域名黑名单—— Spamhaus DBL,以防骗子决定将C&C服务器隐藏在通用域名而不是IP地址之后。
Spamhaus说,骗子通常更喜欢使用域名,租用VPS系统而不是IP地址和被黑的服务器。这些组织的专家解释如下:
为了托管他们的僵尸网络控制器,网络犯罪分子通常更愿意使用专门注册的域名。这是因为专用域名允许网络犯罪分子启动新的VPS,加载僵尸网络控制器工具包,并在他主机提供商关闭其C&C服务器之后立即重新联系僵尸网络。无需更改僵尸网络中每个受感染计算机的配置是主要优势。
在年终统计中,很容易看到这种C&C服务器使用域名而非IP地址的的好处。据Spamhaus介绍,该组织的DBL在2017年记录了超过50,000个用于僵尸网络C&C服务器的新域名。
根据Spamhaus数据,骗子通常使用.com和.pw域名,并通过美国域名注册商Namecheap注册了超过四分之一的C&C僵尸网络服务器。