全球恶意Web流量95%是僵尸网络的祸

数世咨询发布于 2023-07-26 10:20:40阅读 1403

托管网络安全提供商 Trustwave 的研究表明，全球 95% 的恶意 Web 流量都是僵尸网络招致的。

为进行此项研究，Trustwave 在俄罗斯、乌克兰、波兰、英国、美国等多个国家和地区布设了蜜罐网络。

在研究报告中，Trustwave 表示：“蜜罐如此分布，我们就能收集到关于攻击者及其僵尸网络所用方法与技术的可靠信息，可以全面了解当前数据库威胁情况。”

通过这项研究，Trustwave 得以识别易受攻击的一些特定企业应用的在野漏洞利用，比如 Forta GoAnywhere MFT、Microsoft Exchange、Fortinet FortiNAC、Atlassian Bitbucket 和 F5 Big-IP，这些漏洞都是在概念验证（PoC）漏洞利用代码发布后没几天就遭到利用了。

大多数恶意流量出自僵尸网络

研究为期六个月，于 2023 年 5 月结束。Trustwave 在研究期间分析了 3.8 万个 IP，下载了漏洞利用尝试中用到的 1100 多个攻击载荷。

报告中写道：“录得的所有 Web 流量中几乎 19% 是恶意的，而这些恶意 Web 流量中超过 95% 由僵尸网络引发。”

这些僵尸网络攻击的主要目标是上传 Web Shell，也就是旨在获得目标网站或服务器未授权访问的恶意脚本，攻击者可以通过此类脚本对伪装成潜在受害者的 Trustwave 蜜罐执行进一步攻击操作。

Mozi、Kinsing 和 Mirai 主导

进一步分析中，Trustwave 发现，Mozi、Kinsing 和 Mirai 僵尸网络近乎包圆了所有（95%）这些漏洞利用尝试。Mozi 占所用僵尸网络的 73%，Mirai 和 Kinsing 分别贡献了 9% 和 13%。

“众所周知，这几个恶意软件家族关于探查联网设备中的漏洞，将其组成僵尸网络，用于执行分布式拒绝服务（DDoS）攻击或进行加密货币挖掘。”

Mozi 和 Mirai 僵尸网络都利用了 Netgear 路由器、MVPower DVR 设备、D-link 路由器和 Realtek SDK 等技术中的物联网漏洞。Kinsing 僵尸网络则是利用在 Apache HTTP Server、PHPUnit、ThinkCMF 和 ThinkPHP 中的各种漏洞，尝试往基于 Linux 的系统中安装 XMRig 加密货币挖矿机。“由于我们蜜罐的部署方式，我们无法细致审查攻击者可能采取的后续行动。”Trustwave 在报告中表示。