殭屍網路是由C&C(command and control)伺服器控管的受感染設備所組成的網路,其規模可能超過一百萬台設備,其中C&C伺服器又稱惡意中繼站,由攻擊者操縱殭屍網路發起攻擊,旨在使目標網路崩潰,注入惡意軟體,收集資訊或執行CPU密集型任務等。
不管是技術或是成本層面,運行殭屍網路的門檻都不高,在暗網(dark net)上已提供各種租售方案,數十美金即可由駭客組織代為發動殭屍網路攻擊。在許多合法網站和YouTube上都有大量技術教學,導致殭屍網路難以阻絕。
利用殭屍網路發起的攻擊,包括:
隨著偵防技術的發展,殭屍網路亦隨之演進,主要可分為兩種架構:
從殭屍惡意軟體的行為區分,則可分為以下7種類型,近年來的趨勢統計中,remote access tool與credential stealer為規模、危害最大的類型。
表1、殭屍惡意軟體行為類型
關於殭屍網路的公開統計資料並不多,主要以利用殭屍網路所發起的攻擊資料為主。而從殭屍網路規模的統計來看,參考2020 Q1與2021 Q1(如圖1)的國際殭屍網路排行進行趨勢比較,表中的排名變化是與前一季相比,2020 Q1是與2019 Q4相比,2021 Q1是與2020 Q4相比。
圖1、2020與2021 Q1國際殭屍惡意網路排行
2020年第一季,前10名的殭屍網路幾乎都是遠端訪問工具(RAT, Remote Access Tool)或憑據竊取(Credential Stealer)程序類型,只有Gozi(電子銀行木馬)和Emotet(Droppers / Backdoors)例外,而到了2021 Q1,主要類型依然是遠端訪問工具或憑據竊取程序類型。
兩種主要類型反映出的是,皆做為攻擊的前置步驟之用,透過大規模的蒐集受駭主機資訊與使用者憑據,將資訊再次販賣,亦或是從中篩取具有價值的目標,再進階的攻擊。由此可知殭屍網路除了發起DDoS等直接的攻擊外,大部分的功能也因應近年來駭客集團以賺取錢財為目的,因此轉變做為攻擊的前奏。
其中銀行木馬(e-banking trojan)在榜上雖然僅有一個上榜,但影響力不容小看,銀行木馬多數透過垃圾郵件散播傳染,其主要特性為竊取銀行帳號密碼,更有甚者,在2021年3月國內曾發現有10款運行於行動電話的銀行木馬APP,嚴重者可直接遠端操控轉移帳戶資金,直接的造成財產損失。
以下特別就較為嚴重之惡意軟體加以說明:
Raccoon Stealer:2019年底此惡意軟體出現,在2020 Q1上榜,它通過受害者主機上已存在的惡意軟體、垃圾郵件,漏洞攻擊工具等途徑傳播到主機中,主要目的是竊取資訊和使用者憑據。
Lokibot:Lokibot在Spamhaus這個資安單位的統計中已占據了排行第1名的地位長達2年,以殭屍網路規模來說,在國際上為近年來影響最大的惡意軟體之一。
AZORult:在過往AZORult是很嚴重的殭屍網路,2020發現AZORult殭屍網路活動略為減少,但仍是Q1的第二大威脅。
NanoCore和Remcos:這2個家族是RAT(遠端訪問)類型殭屍網路中,具有主導地位的惡意軟體,其功能也有互相參考演進的趨勢。
Emotet:主要針對全球的電子銀行客戶,隨時間演進其惡意行為,在2019年開始即被認為是最危險的殭屍網路之一,因為Emotet具有下載其它惡意軟體的功能,而且具有強大的閃避傳統特徵偵測機制的能力。
IcedID、Dridex、Quakbot、TrickBot:這些殭屍網路發送了大量包含惡意檔案的垃圾郵件,手法與Emotet相似,靠垃圾郵件入侵到企業網路後,再用勒索軟體對資料加密,以達攻擊目的。
如前所述,殭屍網路為許多資安攻擊的發起基礎,但在趨勢分析上,國內缺乏殭屍電腦感染狀況的相關統計資料,故本報告採用國外通報資料進行分析。
(一)情資來源
本報告主要依據TWCERT/CC的情資來源,Shadow Server與Team Cymru通報的殭屍網路情資。統計期間自2020年9月到2021年4月共8個月,國外情資單位所通報之資料為我國受殭屍惡意軟體感染的IP,殭屍惡意軟體共177種,以android行動裝置為目標的有18種,其它電腦與物聯網設備為目標的共159種,但主要的殭屍惡意軟體(感染超過1萬個IP以上)則只有10種。
從通報數量上看,Shadow Server約通報了80%的數量,Team Cymru約佔20%,各有側重的領域,其通報之惡意軟體種類幾乎沒有重複,只有mirai為兩個單位皆有通報,故本報告之分析是整合2個情資來源以完整涵蓋。
表2、情資單位通報的殭屍惡意軟體種類
(二)國內統計排名分析
本報告藉由通報情資進行國內感染狀況之分析,以下會從感染數量以及感染趨勢進行分析。
圖2為統計期間之感染數量排名,以前10名來說,2020年9月到2021年4月的逐月排名變動幅度不大,僅有少數新增的惡意軟體。
圖2、2020年9月到2021年4月感染數的逐月10大排名
將統計期間的感染總數量做排名則會得到圖3的前15名排行榜,前幾名的惡意軟體為國內被通報的主要殭屍軟體,例如mirai從2020年9月即為第一名,並持續了5個月,感染IP數量超過10萬,而11到15名則只有不到5千的感染數量。
圖3、曾出現在前10名的殭屍惡意軟體
以下逐一分析惡意軟體的趨勢與特點:
總體而言,15個惡意軟體,挖礦用的僅有一個,其它多為攻擊性強烈的類型,亦符合因對國外攻擊而被偵測的資料特性,故此分析較適合瞭解國內受此類型殭屍惡意軟體感染的狀況。
(三)國內與國際趨勢差異分析
由圖4可觀察到,通報排行榜上的惡意軟體出現的時間通常為2年以前,甚至是十幾年前,而在國際趨勢看來,惡意軟體的變化很快,新出現的惡意軟體很快會上榜,與國際上的統計有極大差異。
圖4、前15名的殭屍惡意軟體出現時間
與國際趨勢比較,其差異的原因有三:
一是因國內排行榜是依據對國外發起攻擊的IP進行統計,國外則為資安業者透過產品偵測或直接由偵察到的C&C伺服器得知,比較基準有所不同,但仍具參考意義。
二是因為惡意軟體攻擊目標差異,例如以挖礦為目標的殭屍惡意軟體較少會再向外發動攻擊,亦或是針對特定產品或對象,例如銀行、物聯網等具有區域或產業特性,導致我國的分析數據中較少此類型的惡意軟體。
三是整體環境差異,例如sality與virut等國外曾經造成重大威脅的惡意軟體,在國外排行榜已近乎消失,國內卻仍能名列前矛,可見國內環境仍適合其傳播感染。
殭屍網路是發起多種大規模攻擊的基礎,亦是攻擊步驟中惡意工具下載的一個過程,若能適當防範將可降低後續更為嚴重的資安危害。
防範殭屍惡意軟體的建議為:
再依據本報告所分析之主要的殭屍惡意軟體特性,提供以下建議。