《 ZDNet》杂志将近十年来从Necurs到Mirai的最大僵尸网络列出来
在过去的十年中,信息安全领域注意到恶意软件活动几乎持续增长。
毫无疑问,2010年代是恶意软件爆炸式增长的十年,从普通的半业余状态到能够每年赚取数亿美元的全面犯罪活动。
尽管在2010年代发现了数千种恶意软件变体,但事实证明,某些僵尸网络在规模和分布上都超过了其他僵尸网络,达到了某些安全研究人员称为“超级僵尸网络”的状态。
诸如Necurs,Andromeda,Kelihos,Mirai或ZeroAccess之类的病毒已通过感染全球数百万台设备而赢得了声誉。
本文试图总结过去十年来我们所见过的最大的僵尸网络信息。 由于僵尸网络跟踪不能100%有效,因此我们将按字母顺序列出它们,以指示鼎盛时期计算出的峰值大小。
3ve
3ve被认为是最先进的
点击欺诈僵尸网络。 从2013年到2018年,他一直工作,直到在Google和从事网络安全的公司White Ops的帮助下,由于国际上的协调行动而与他断开联系。
僵尸网络依赖于在数据中心服务器上运行的恶意脚本以及在感染了第三方恶意软件(例如Methbot和Kovter)的计算机上加载的点击欺诈模块的混合。
3ve运营商还创建了假网站,在这些假网站上载了广告,然后使用漫游器伪造了这些广告,以获利。 据认为,该机器人有时包括150万台家用计算机和1900台服务器,它们点击了10,000个假网站上投放的广告。
仙女座(gamarue)
Andromeda恶意软件最早于2011年被发现,它是下载垃圾邮件和恶意软件的典型僵尸网络-此方案也称为恶意软件即服务(MaaS)。
因此,我们称此类恶意系统为攻击者,向其中的大量用户发送垃圾邮件,以使其感染各种仙女座病毒(Gamarue)。 然后,攻击者使用受感染的主机向其他用户发送新的电子邮件垃圾邮件,从而在工作模式下扩展并支持僵尸网络,或按其他组的顺序下载操作第二阶段的恶意软件。
具有安装第三方程序能力的MaaS僵尸网络是犯罪方案中最赚钱的,攻击者使用各种类型的恶意软件来组织此类操作的后端基础结构。
Andromeda是已经流行了几年的此类恶意软件的变体之一。 成功的秘诀是仙女座(Andromeda)源代码在网上泄漏,这使几个犯罪集团可以举起自己的僵尸网络并尝试处理网络犯罪。
多年来,网络安全公司已经找到了与Andromeda僵尸网络合作的多个犯罪团伙。 其中最大的感染了200万主机,并于2017年12月
被欧洲刑警组织
关闭 。
贝米塔尔
Bamital是一个广告僵尸网络,从2009年到2013年一直工作。 它由Microsoft和Symantec联合关闭。
在受感染的主机上,Bamital通过在其中插入特殊链接和内容,将用户重定向到提供下载带有内置恶意程序的程序的危险站点,从而欺骗了搜索结果。
据信,Bamital已经感染了超过180万台计算机。
重晶石
Bashlite,也称为Gafgyt,Lizkebab,Qbot,Torlus和LizardStresser,是一种恶意软件变体,旨在感染防护不佳的家庭WiFi路由器,智能设备和Linux服务器。 僵尸网络的主要作用是执行
DDoS攻击 。
该恶意软件是由黑客组织Lizard Squad的成员于2014年创建的,其代码在2015年泄露给了网络。
由于泄漏,该程序经常在当今的DDoS僵尸网络中使用,它是仅次于Mirai的
IoT领域第二受欢迎的恶意软件。 今天,有数百种Bashlite。
贝罗布
从2007年到2016年,Bayrob僵尸网络一直处于活跃状态。其目的随着时间的推移而改变。 在第一个版本中,恶意软件被用作eBay欺诈的辅助工具。
但是,在eBay和其他网站掩盖了这种可能性之后,Bayrob帮派对其僵尸网络进行了改进,并将其变成了一种用于发送垃圾邮件和挖掘加密货币的工具,到2010年代中期,正如他们所说的那样,它成功感染了至少40万台计算机。
2016年,当提交人在罗马尼亚被捕并被引渡到美国时,他受到了掩护。 两家主要开发商最近分别
种植了18年和20年。
布雷多拉
据信,从2009年到2010年11月,Bredolab已感染了3000万台Windows计算机(这是一个令人难以置信的数量),当时该计算机受到荷兰警方的监视,没收了140多台控制服务器。
该僵尸网络是由亚美尼亚恶意软件作者创建的,该作者使用垃圾邮件和隐藏下载来感染用户。 感染后,用户的计算机被用来发送垃圾邮件。
卡纳
该僵尸网络不能称为“恶意软件”。 它是由一个未知的黑客创建的,用于进行在线普查。 2012年,他感染了超过420,000台Internet路由器,并且未经用户许可直接从用户那里直接收集了统计信息。
它感染了不使用密码或安全性取决于默认密码或容易猜测的路由器。 几年后,Mirai僵尸网络采用了这种策略来进行DDoS攻击。
变色龙
Chameleon是在2013年运营的短暂僵尸网络。 这是带有广告欺诈行为的僵尸网络的罕见类型之一。 其作者
感染了超过120,000个用户。 他在Internet Explorer的背景下打开了该恶意软件,然后使用显示广告的202点列表访问了网站。 这帮助僵尸网络作者每月赚取620万美元。
Coreflood
Coreflood是被遗忘的Internet威胁之一。 它出现在2001年,并于2011年
关闭 。据认为,它感染了230万台Windows计算机,并且在2011年6月关闭时,全世界有80万多个机器人在工作。
Coreflood运营商使用陷阱站点感染了用户的计算机,这种技术称为“偷渡式下载”。 感染后,该机器人下载了另一种功能更强大的恶意软件。 Coreflood扮演了恶意软件下载器的典型角色。
德里克斯
Dridex是当今最著名的僵尸网络之一。 自2011年以来,存在恶意和相关的僵尸网络。 最初,该项目名为Cridex,然后演变为Dridex(有时也称为Bugat)。
Dridex是一种银行木马,可以窃取银行详细信息并为黑客提供访问银行帐户的权限,但它也具有窃取其他信息的组件。
通常,此恶意软件是通过带有附件的垃圾邮件来分发的。 根据一些报告,创建Dridex的同一小组还管理Necurs垃圾邮件僵尸网络。 这两个僵尸网络具有相似的代码片段,并且传播Dridex的垃圾邮件始终通过Necurs僵尸网络。
Dridex的主要创造者之一于2015年
被捕 ,但僵尸网络一直持续到今天。
僵尸网络的大小(受感染计算机的数量)多年来发生了巨大变化。 马尔佩迪亚(Malpedia)网站在
Dridex和
TA505僵尸网络专用页面上,存储了有关Dridex运行情况的数百份报告中的一小部分,该报告显示了该十年来僵尸网络活跃的程度。
表情包
Emotet于2014年首次遇见。 它最初以银行木马的身份工作,但随后在2016年和2017年将其角色更改为其他恶意软件的提供商。
如今,Emotet已成为全球最大的MaaS运营商,犯罪分子经常使用它来访问公司网络,黑客可以在其中窃取文件或安装勒索软件程序,以对敏感数据进行加密,并勒索需要大量赎金的公司。
僵尸网络的大小每周不同。 此外,Emotet通过三个小型“时代”(微型僵尸网络)进行工作,这有助于避免由于执法机构的协调工作而导致的关闭,并有助于在大规模实施之前测试各种行动。
僵尸网络也称为Geodo,其技术功能已得到详细
记录 。 下面是由Sophos Labs编写的在撰写本文时的僵尸网络功能图。
费斯蒂
Festi僵尸网络是使用相同名称的
rootkit创建的。 从2009年到2013年,他工作了,此后,他的活动逐渐变得毫无意义。
在最佳时期,2011年和2012年,僵尸网络感染了超过25万台计算机,每天可能发送超过25亿封垃圾邮件。
除了有
据可查的垃圾邮件功能之外,僵尸网络有时还参与了DDoS攻击,这使其成为曾经参与此攻击的基于Windows的稀有僵尸网络之一。
他也被称为
Topol-Mailer 。
一些 消息来源将僵尸网络的创建归因于俄罗斯程序员Igor Artimovich。
Gameover ZeuS
僵尸网络于2010年至2014年运作,此后其基础设施被国际执法机构没收。
僵尸网络正在遭受银行Trojan Gameover ZeuS感染计算机,该恶意软件是根据泄漏到网络中的ZeuS Trojan的源代码创建的。 据信他已经感染了多达一百万台设备。
除了从受感染的主机上窃取银行信息之外,Gameover ZeuS还为受感染计算机提供了对其他网络犯罪分子的访问权限,以便他们可以安装自己的恶意软件。 僵尸网络是CryptoLocker的主要分发渠道,CryptoLocker是最早的勒索软件程序之一,用于对文件进行加密而不是阻止计算机的桌面。
僵尸网络的主要运营商已被命名为仍未被逮捕的俄罗斯公民Evgeny Mikhailovich Bogachev。 目前,FBI悬赏300万美元,以奖励可能导致Bogachev被捕的信息-这是为黑客提供的最大奖励。
戈齐家族
Gozi恶意软件家族在此列表中值得一提,因为它会对恶意软件的当前状态产生影响,而不一定是因为根据其创建的僵尸网络的大小(大多数僵尸网络很小,但是工作很多年)。
Gozi在2006年开发了
第一个银行木马,成为ZeuS木马及其MaaS产品的直接竞争对手。
Gozi源代码也在线泄漏(2010年),并立即被其他网络犯罪分子采用,后者在其基础上创建了许多其他银行木马,这些木马在过去十年中占据了恶意软件的利基市场。
尽管该恶意软件有几十种变体,但最稳定的是
Gozi ISFB ,
Vawtrak (Neverquest)和
GoziNym僵尸网络(
由 Gozi IFSB和Nymain
组合而成) 。
今天,Gozi被认为已过时,因为它与现代浏览器和OS不兼容,并且近年来已逐渐被废弃。
脾气
该僵尸网络从2008年到2012年一直使用,并且是使用相同名称的rootkit创建的。 高峰时,它达到了84万台受感染计算机的规模,其中大多数运行Windows XP。
在Spamhaus,Group-IB和FireEye共同努力下,僵尸网络于2012年关闭,尽管那时僵尸网络的规模已缩小到20,000台计算机。
僵尸网络的主要目标是使用受感染的计算机每天发送数以千万计的垃圾邮件,其中主要是带有广告毒品和约会网站。
me目
该僵尸网络于2017年4月出现,并且仍在运行。 这是一个经典的物联网僵尸网络,它使用未更正的漏洞和弱密码来感染路由器和智能设备。
这是第
一个使用对等P2P网络结构的物联网
僵尸网络。 高峰时,它达到了300,000台受感染设备的大小。 但是,他无法长期保持这种规模,其他僵尸网络也开始
从他手中窃取一部分 。 现在,它已经缩小到90,000台设备。
他从未进行过DDoS攻击,据信犯罪分子利用它来传输恶意使用的流量或
从列表中选择密码 。
凯利霍斯(Waledac)
从2010年到2017年4月,僵尸网络一直处于活跃状态,当时,当局终于在2011年,2012年和2013年失败之后第四次尝试
将其关闭 。
僵尸网络在鼎盛时期由数十万个僵尸网络组成,但是到关闭时,多达60,000台主机被炸掉。
这是一个经典的垃圾邮件僵尸网络,使用受感染的主机为各种骗子发送垃圾邮件活动。
该僵尸网络运营商于2017年在西班牙被捕,被引渡到美国,去年他在美国认罪,目前
正在等待判决 。
未来
这个僵尸网络是
由对自己的大学很生气
的学生开发的,并计划对其进行DDoS攻击。 如今,它已成为通过物联网工作的
最常见的恶意软件变体。
它旨在感染使用弱密码或不使用授权进行telnet连接的路由器和智能IoT设备。 被感染的设备组成了专门为DDoS攻击设计的僵尸网络。
他私下经营了将近一年,直到几次袭击吸引了他的操作员太多的注意力。 为了隐藏线索,僵尸网络的作者
发布了其
源代码 ,希望其他人可以提高自己的僵尸网络并阻止执法人员追踪原始源代码。
焦点失败了,源代码的发布严重恶化了当几个恶意人员手中获得免费强大的工具的情况。 从那时起,基于Mirai的僵尸网络每天都在Internet服务器上进行DDoS攻击,并且一些报告表明,不同基于Mirai的僵尸网络的数量超过100。
自僵尸网络源代码于2016年底发布以来,其他僵尸网络的作者一直使用其代码来创建自己的恶意软件变体。 其中最著名的是Okiru,Satori,Akuma,Masuta,PureMasuta,Wicked,Sora,Owari,Omni和Mirai OMG。
Necurs
据某些消息来源说,一个垃圾邮件僵尸网络于2012年首次
引起了我的注意,它是由管理银行Trojan Dridex(即
TA505 )的同一团队
创建的 。
僵尸网络的唯一目的是感染Windows计算机并使用它们发送垃圾邮件。 在其一生中,僵尸网络已被散布在各种主题下的垃圾邮件:
-伟哥和药品,
-神奇的疗法
-交友网站,
-通过抽水和倾销获得的交易所和加密货币收益,
-散布其他恶意程序的垃圾邮件-Dridex木马或Locky and Bart勒索软件。
僵尸网络在2016-2017年达到高峰,当时可以在6-7百万台设备上找到该僵尸网络。 今天它很活跃,但规模不大。 这是有关僵尸网络及其某些活动
的技术报告的
简短列表 。
拉姆尼特
Ramnit是另一个旨在控制同名银行木马的僵尸网络。 它出现在2010年,基于旧ZeuS Trojan泄露的源代码。
在其第一个版本中,它达到了350,000个僵尸程序的大小,并引起了网络安全专家和执法人员的注意。
当局在2015年2月发布
了第一个版本,但由于他们无法逮捕其作者,因此几个月后,僵尸程序操作员又
出现了一个新的僵尸网络。
它
今天很
活跃 ,但覆盖范围尚未接近2015年的峰值指标。
重制
恶意软件Retadup及其僵尸网络于2017年首次被注意到。这是一个简单的木马,它从受感染的主机上窃取各种类型的数据,并将信息发送到远程服务器。
该木马一生都受到了监视,直到2019年8月,Avast和法国警察已
采取积极措施关闭僵尸网络,并向该恶意程序的副本发送了一条命令,以将自己从所有受感染的主机中删除。
只有到那时,当局才知道该僵尸网络足够大,并感染了全球主要在拉丁美洲的850,000多个系统。
Smominru(Hexmen,MyKings)
Smominru僵尸网络,也称为MyKings和Hexmen,是目前最大的专门用于加密挖掘的僵尸网络。
他在台式计算机和工业服务器上执行此操作,通常由于未打补丁的系统的漏洞而可以访问它们。
它出现在2017年,当时它感染
了超过525,000台运行Windows的
计算机 ,并在运营的头几个月开采了价值超过230万美元的Monero(XMR)。
尽管加密货币价格下跌,但僵尸网络今天仍然活跃,根据今年夏天发布的
报告判断,僵尸网络每天感染超过4,700台设备。
特技机器人
TrickBot与Emotet的工作方式相同。 这是一个以前的银行木马,现在已经成为一种根据每次安装的付款方案传递恶意软件的手段,现在它通过在受感染计算机上安装来自其他组的恶意软件来赚钱最多。
僵尸网络于2016年首次出现,其第一个版本的大部分代码都来自已经无法使用的Dyre Trojan。 随着时间的流逝,最初的Dyre团伙的残余物在俄罗斯当局于同年将团队的几名成员散发后创建了TrickBot。
但是,TrickBot作为银行木马的时间很短。 到2017年夏天,它在Emotet正在进行类似转型的同时,逐渐变成了恶意软件分发工具。
尽管没有证据表明两个僵尸网络都由同一团队管理,但是它们显然在协作。TrickBot帮派经常将访问权限出租给以前受Emotet感染的计算机。即使TrickBot是他们的主要竞争对手之一,Emotet团队也允许您执行此操作。TrickBot僵尸网络的大小会随着时间的变化从30,000更改为200,000,具体取决于信息源和僵尸网络在恶意软件基础结构中的可见性。有线
此列表中为数不多的好故事之一。僵尸网络启动后仅一个月就关闭了,此前有多家公司和内容交付网络共同关闭了其基础架构。该僵尸网络是使用恶意软件WireX Android创建的,该恶意软件在2017年7月突然出现,并在短短几周内感染了12万多部智能手机。尽管Android上大多数现代恶意软件都用于显示广告和对其进行虚假点击,但该僵尸网络的行为异常嘈杂,并用于DDoS攻击。这立即吸引了安全公司,并且在该年8月中旬,僵尸网络的共同努力下将其关闭。参与行动 像Akamai,Cloudflare,Flashpoint,Google,Oracle Dyn,RiskIQ和Team Cymru这样的公司。零访问
. , , .
2009, 2013
Microsoft.
Sophos, 9 Windows, , $100 000 .
ZeroAccess
Malpedia Symantec .