全球恶意Web流量95%是僵尸网络的锅

托管网络安全提供商Trustwave的研究表明，全球95%的恶意Web流量都是僵尸网络招致的。

为进行此项研究，Trustwave在俄罗斯、乌克兰、波兰、英国、美国等多个国家和地区布设了蜜罐网络。

在研究报告中，Trustwave表示：“蜜罐如此分布，我们就能收集到关于攻击者及其僵尸网络所用方法与技术的可靠信息，可以全面了解当前数据库威胁情况。”

通过这项研究，Trustwave得以识别易受攻击的一些特定企业应用的在野漏洞利用，比如Forta GoAnywhere MFT、Microsoft Exchange、Fortinet FortiNAC、Atlassian Bitbucket和F5 Big-IP，这些漏洞都是在概念验证（PoC）漏洞利用代码发布后没几天就遭到利用了。

大多数恶意流量出自僵尸网络

研究为期六个月，于2023年5月结束。Trustwave在研究期间分析了3.8万个IP，下载了漏洞利用尝试中用到的1100多个攻击载荷。

报告中写道：“录得的所有Web流量中几乎19%是恶意的，而这些恶意Web流量中超过95%由僵尸网络引发。”

这些僵尸网络攻击的主要目标是上传Web Shell，也就是旨在获得目标网站或服务器未授权访问的恶意脚本，攻击者可以通过此类脚本对伪装成潜在受害者的Trustwave蜜罐执行进一步攻击操作。

Mozi、Kinsing和Mirai主导

进一步分析中，Trustwave发现，Mozi、Kinsing和Mirai僵尸网络近乎包圆了所有（95%）这些漏洞利用尝试。Mozi占所用僵尸网络的73%，Mirai和Kinsing分别贡献了9%和13%。

“众所周知，这几个恶意软件家族关于探查联网设备中的漏洞，将其组成僵尸网络，用于执行分布式拒绝服务（DDoS）攻击或进行加密货币挖掘。”

Mozi和Mirai僵尸网络都利用了Netgear路由器、MVPower DVR设备、D-link路由器和Realtek SDK等技术中的物联网漏洞。Kinsing僵尸网络则是利用在Apache HTTP Server、PHPUnit、ThinkCMF和ThinkPHP中的各种漏洞，尝试往基于Linux的系统中安装XMRig加密货币挖矿机。“由于我们蜜罐的部署方式，我们无法细致审查攻击者可能采取的后续行动。”Trustwave在报告中表示。