新興DDoS Botnet家族Ripper正在持續進化

Ripper 的傳播機制借鑒自 Mirai：樣本中內置 Telnet 弱口令掃描模塊，掃描模塊會把掃描結果上報給 Report Server，攻擊者會根據上報的掃描結果，控制 Loader 向失陷主機植入 Ripper 的木馬文件。

在 1 月 12 日即被 360 Netlab 的蜜罐捕獲，1 月 20 日首次發現 DDoS 攻擊。4 月 24 日更新了版本 3，啟用 xxtea 加密配置信息，并且增加了反沙盒與反調試。6 月 5 日更新了版本 4，去掉了反沙盒與反調試并且啟動了 DDoS 勒索。C&C 面板11 月 9 日，通過 Telegram 匿名消息來源獲取了 Fodcha 的 C&C 源碼與訪問終端。持續跟蹤Fodcha 已經躋身 2022 年最活躍的新興 DDoS 家族：在跟蹤期間瘋狂發動 DDoS 攻擊，總計控制近四萬臺失陷主機針對全球的五萬多個目標進行攻擊，平均每天攻擊超過一千個目標。

2021年，以APT攻擊、新型僵尸網絡攻擊、RaaS型勒索軟件攻擊為代表的高級威脅攻擊事件，在攻擊技術、影響范圍、造成損失等多個維度上都提升到了全新的高度。綠盟科技伏影實驗室聯合CNCERT網絡安全應急技術國家工程研究中心對2021年全年的高級威脅事件進行持續追蹤研究，整理形成《2021年度高級威脅研究報告》（以下簡稱《報告》）。本文為《報告》精華解讀系列的僵尸網絡篇，向讀者呈現2021年度僵尸網

背景 伏影實驗室全球威脅狩獵系統在2022年6月15日-16日捕獲到兩個新的僵尸網絡家族，我們將這兩個新僵尸網絡家族命名為Boota和Boat，這兩個家族使用獨立的C2地址，且無關聯。 根據狩獵發現： 2022年6月15日檢測到Boota家族，2022年6月16日投遞Boota的下載地址已經切換。 2022年6月16日檢測到Boat家族，在16日下午晚些時候，Boat家族的下載地址也已切換

近年來，我們發現IoT相關的惡意軟件家族攻擊活動日趨頻繁，并以此構建起了各式各類的僵尸網絡，對網絡空間帶來了極大威脅。

系統安全第31篇文章介紹惡意代碼攻擊溯源基礎知識

Operation(верность)mercenary：陷陣于東歐平原的鋼鐵洪流、Bitter組織使用“Dracarys”Android間諜軟件……

MSTIC在12月21日的博客文章中透露，威脅參與者已將Zerobot更新到1.1版，現在可以通過DDoS攻擊資源并使其無法訪問，從而擴大了攻擊和進一步實施危害的可能性。研究人員表示，成功的DDoS攻擊可能會被威脅行為者用來勒索贖金、分散其他惡意活動的注意力或破壞運營。一旦滿足定義的標準，DEV組就會轉換為指定的威脅行為者。這些功能允許威脅行為者瞄準資源并使其無法訪問。Fortinet研究人員已經強調了組織立即更新到受Zerobot影響的任何設備的最新版本的重要性。

MSTIC在12月21日的博客文章中透露，威脅參與者已將Zerobot更新到1.1版，現在可以通過DDoS攻擊資源并使其無法訪問，從而擴大了攻擊和進一步實施危害的可能性。研究人員表示，成功的DDoS攻擊可能會被威脅行為者用來勒索贖金、分散其他惡意活動的注意力或破壞運營。一旦滿足定義的標準，DEV組就會轉換為指定的威脅行為者。這些功能允許威脅行為者瞄準資源并使其無法訪問。Fortinet研究人員已經強調了組織立即更新到受Zerobot影響的任何設備的最新版本的重要性。

DDoS攻擊的三個特性，導致其在不斷治理的情況下仍然保持增長態勢：一是攻擊的有效性立竿見影，由于攻擊效果好，攻擊者熱衷于挖掘新型DDoS攻擊手段，甚至多國高校把DDoS威脅作為研究目標并揭露威脅；二是執行攻擊簡單易操作，早期的DDoS攻擊攻擊工具操作界面幾乎是傻瓜式，粗懂網絡知識的人員輸入IP地址或域名即可發起海量DDoS攻擊并使目標失去服務能力，然而近幾年來開始推出攻擊即服務的模式，