Botnet趋势解读之刻不容缓的物联网安全

从PC互联网到移动互联网，再到万物互联的物联网，网络已经覆盖到人们生活的方方面面，并仍以前所未有的速度不断扩张。

然而，网络信息化是一把双刃剑，在带给人们生活便利的同时，也带来了诸多烦恼，最为常见的便是信息安全问题。在利欲熏心的黑客面前，个人的隐私信息近乎“透明”。而频繁爆出的网络安全事件，也让普通百姓意识到个人隐私保护的重要性。

当然，要保护信息安全，就要了解黑客攻击的手段以及威胁存在的主要形式。笔者采访到了绿盟科技伏影实验室负责人吴铁军，为我们详细剖析僵尸网络近年来的发展趋势。

吴铁军介绍到，根据绿盟科技发布的《2018 BOTNET 趋势报告》中显示，Botnet（即僵尸网络，是安全领域存在已久的一种威胁形式）在2018年仍是主要的攻击手段之一。

绿盟科技伏影实验室通过长期对Botnet追踪和研究，洞察到以下6大发展趋势：

Botnet程序代码结构普遍趋向成熟，开始呈现高度的模块化特征，其恶意行为从执行DDoS攻击扩展为结合挖矿、勒索等模块的多元化攻击。

2018年Botnet在物联网平台上发展迅速，Linux及IoT平台家族的C&C服务器数量在整体数据中占比从上年度的4.4%提升至31%，产生的攻击数量占观测量的92%；

IoT平台家族控制的肉鸡发出的攻击与高倍数反射DDoS攻击技术相结合，达到隐藏攻击源，产生巨量攻击流量的目的，加大了DDoS攻击防御难度；

有组织的Botnet黑产团伙专注于特定的家族，并且使用相对隐蔽、匿名的C&C服务器；

价格低廉、审核宽松的VPS（Virtual Private Server）降低了非组织化黑产人员架设Botnet网络的成本；

Botnet组织仍然在寻求新的套现手段，由传统DDoS攻击到挖矿、勒索继而发展为以BaaS（Botnet as a Service）租赁Botnet攻击能力为主的多元化套现模式。

早在2017年，绿盟科技就发布了国内首份Botnet趋势专项报告，据绿盟科技伏影实验室负责人吴铁军介绍，Botnet研究与跟踪是伏影实验室一项重要工作。Botnet威胁已成为当今网络安全重要威胁之一，国际上已有多个专业的Botnet攻击对抗研究组织，而绿盟科技伏影实验室也同属于对抗Botnet的中坚力量。

Botnet有着悠久的应用史，从未放弃更新迭代、对抗演进、升级套现盈利模式。基于此，伏影实验室多年来从研究攻击者行为模式和攻击心理的角度出发，透析“Botnet运营”的黑色产业链。通过缓解攻击效果，瓦解其套利手段；切断交易活动，使之终止攻击任务；“接管”C&C，使之彻底瘫痪，“三步走”遏制黑产非法获利。

刻不容缓的物联网安全

通过绿盟科技伏影实验室洞察到的Botnet趋势变化可以看出，伴随物联网技术的快速发展，数量庞大的物联网设备已经成为Botnet攻击的高发地，如何守护物联网安全迫在眉睫。

绿盟科技拥有成熟的僵尸网络跟踪监控系统与威胁评估系统，在充分授权的情况下，可以以主动和被动方式标识物理联网设备的安全状况、已感染家族等评估信息，指导用户提升物联网设备安全，让用户在安全的前提下尽享物联网时代的便捷。

在物联网快速发展阶段，绿盟科技伏影实验室对于物联网设备生产厂商也给出了专业建议：

相关单位需制定IoT设备及通信安全标准、合规标准，指导IoT沿着健康的道路发展；

IoT厂商在产品开发时需加入安全设计。避免使用已存在漏洞的开源组件、设计自更新系统，确保发现漏洞后可以更新补救，对自家产品全生命周期负责，持续安全交付；

鼓励和促进IoT安全事业的发展，让安全厂商以最大的热情和资金投入IoT安全研究当中，授权对IoT设备安全评估，尽早暴露安全问题，修复安全问题。

同样，针对家庭物联网设备，如家用摄像机、网络盒子、智能音箱等的安全问题，吴铁军表示，更多的还是要依赖运营商、IoT厂商、安全厂商来解决普通消费者的安全问题。普通消费者做到以下预防措施，可以降低受危害的可能：

定期修改IoT设备的管理密码及密码强度；

即使更新IoT系统软件，即使打补丁；

设置高强度密码，注意不使用共享WiFi密码的手机软件。

同时，绿盟科技伏影实验室建议充分利用各机构、各部门现有的网络资源进行协同治理。确定需要防御的资产以及可能暴露这些资产的攻击面，从而更好地净化网络空间。

无独有偶，在今年的两会期间，也有代表建议国家积极推动构建物联网安全体系，通过立法手段，保护物联网安全。

此外，吴铁军还介绍了互联网金融攻击案例。攻击者利用水坑站点诱导管理员下载攻击者开发的工具，使得攻击者轻松植入botnet，利用此获取内网信息。为了使工具看起来可信，开发者自己运作了github的项目页面，加入了窃取的真实证书，具有极高的欺骗性。

从这个事件来看，即便具有一定反病毒意识的管理员，也无法完全避免中招。因此，加强关键人员的安全意识，有计划的安排人员进行安全培训，及时获知新的攻击方法，能够在一定程度避免因为个人安全意识不足导致的安全事件的发生。

面向未来砥砺前行

面对未来，绿盟科技伏影实验室将在数字资产威胁识别、文字情报方向投入研究力量。

数字资产威胁识别方面，随着互联网和云技术的发展，数字资产体量日渐庞大，然而数字资产被乱用、误用现象频发，数字资产被遗忘或缺乏管理，从而导致企业或组织的声誉和经济价值受损。因此必须要有效监控和管理互联网上的数字资产，保障客户业务的安全运行。

文字情报方面，黑产交易、攻击者泄愤、黑色社群“密谋”等情境下，都会有文字交流与沟通，及时捕获这类威胁情报有助于降低威胁攻击面和威胁程度。