全球惡意Web流量95%是僵尸網絡的鍋
托管網絡安全提供商Trustwave的研究表明,全球95%的惡意Web流量都是僵尸網絡招致的。
為進行此項研究,Trustwave在俄羅斯、烏克蘭、波蘭、英國、美國等多個國家和地區布設了蜜罐網絡。
在研究報告中,Trustwave表示:“蜜罐如此分布,我們就能收集到關于攻擊者及其僵尸網絡所用方法與技術的可靠信息,可以全面了解當前數據庫威脅情況。”
通過這項研究,Trustwave得以識別易受攻擊的一些特定企業應用的在野漏洞利用,比如Forta GoAnywhere MFT、Microsoft Exchange、Fortinet FortiNAC、Atlassian Bitbucket和F5 Big-IP,這些漏洞都是在概念驗證(PoC)漏洞利用代碼發布后沒幾天就遭到利用了。
大多數惡意流量出自僵尸網絡
研究為期六個月,于2023年5月結束。Trustwave在研究期間分析了3.8萬個IP,下載了漏洞利用嘗試中用到的1100多個攻擊載荷。
報告中寫道:“錄得的所有Web流量中幾乎19%是惡意的,而這些惡意Web流量中超過95%由僵尸網絡引發。”
這些僵尸網絡攻擊的主要目標是上傳Web Shell,也就是旨在獲得目標網站或服務器未授權訪問的惡意腳本,攻擊者可以通過此類腳本對偽裝成潛在受害者的Trustwave蜜罐執行進一步攻擊操作。
Mozi、Kinsing和Mirai主導
進一步分析中,Trustwave發現,Mozi、Kinsing和Mirai僵尸網絡近乎包圓了所有(95%)這些漏洞利用嘗試。Mozi占所用僵尸網絡的73%,Mirai和Kinsing分別貢獻了9%和13%。
“眾所周知,這幾個惡意軟件家族關于探查聯網設備中的漏洞,將其組成僵尸網絡,用于執行分布式拒絕服務(DDoS)攻擊或進行加密貨幣挖掘。”
Mozi和Mirai僵尸網絡都利用了Netgear路由器、MVPower DVR設備、D-link路由器和Realtek SDK等技術中的物聯網漏洞。Kinsing僵尸網絡則是利用在Apache HTTP Server、PHPUnit、ThinkCMF和ThinkPHP中的各種漏洞,嘗試往基于Linux的系統中安裝XMRig加密貨幣挖礦機。“由于我們蜜罐的部署方式,我們無法細致審查攻擊者可能采取的后續行動。”Trustwave在報告中表示。
