託管網路安全提供商trustw**e的研究表明,全球95%的惡意web流量都是殭屍網路招致的。
為進行此項研究,trustw**e在俄羅斯、烏克蘭、波蘭、英國、美國等多個國家和地區布設了蜜罐網路。
在研究報告中,trustw**e表示:“蜜罐如此分布,我們就能收集到關於攻擊者及其殭屍網路所用方法與技術的可靠資訊,可以全面了解當前資料庫威脅情況。”
通過這項研究,trustw**e得以識別易受攻擊的一些特定企業應用的在野漏洞利用,比如forta goanywhere mft、microsoft exchange、fortinet fortinac、atlassian bitbucket和f5 big-ip,這些漏洞都是在概念驗證(poc)漏洞利用**發布後沒幾天就遭到利用了。
大多數惡意流量出自殭屍網路
研究為期六個月,於2023年5月結束。trustw**e在研究期間分析了3.8萬個ip,**了漏洞利用嘗試中用到的1100多個攻擊載荷。
報告中寫道:“錄得的所有web流量中幾乎19%是惡意的,而這些惡意web流量中超過95%由殭屍網路引發。”
這些殭屍網路攻擊的主要目標是上傳web shell,也就是旨在獲得目標**或伺服器未授權訪問的惡意指令碼,攻擊者可以通過此類指令碼對偽裝成潛在受害者的trustw**e蜜罐執行進一步攻擊操作。
mozi、kinsing和mirai主導
進一步分析中,trustw**e發現,mozi、kinsing和mirai殭屍網路近乎包圓了所有(95%)這些漏洞利用嘗試。mozi佔所用殭屍網路的73%,mirai和kinsing分別貢獻了9%和13%。
眾所周知,這幾個惡意軟體家族關於探查聯網裝置中的漏洞,將其組成殭屍網路,用於執行分布式拒絕服務(ddos)攻擊或進行加密貨幣挖掘。”
mozi和mirai殭屍網路都利用了netgear路由器、mvpower dvr裝置、d-link路由器和realtek sdk等技術中的物聯網漏洞。kinsing殭屍網路則是利用在apache http server、phpunit、thinkcmf和thinkphp中的各種漏洞,嘗試往基於linux的系統中安裝xmrig加密貨幣挖礦機。“由於我們蜜罐的部署方式,我們無法細緻審查攻擊者可能採取的後續行動。”trustw**e在報告中表示。
the end 】—