2017年，用于管理物联网僵尸网络的命令和控制(C&C)服务器数量增加了一倍多，从2016年的393台增至2017年的943台。这个数字是根据Spamhaus提供的统计数据，它将滥用网络主机的数据作为黑名单的一部分进行汇总。

 

　　僵尸网络IP总量增长了32%

在过去一年的总结报告中，Spamhaus表示，2017年有超过9,500个新的僵尸网络C&C服务器，比上一年增加了32%。该数字包括由多种设备组成的僵尸网络C&C服务器的IP地址，而不仅仅是物联网设备。

9,500+的数字还包括探测到的用于各种网络犯罪活动的C&C服务器，例如用于控制DD0S僵尸网络，垃圾邮件网络，银行木马，还有骗子用来从网络钓鱼工具和infostealer恶意软件发送收集的数据的服务器。

 

　　骗子更热衷购买服务器而不是黑客

Spamhaus表示，在2017年突然出现的9,500个新僵尸网络C&C服务器中，绝大多数(6,588个IP地址，占总数的68%)是从Web主机供应商购买单个服务器的IP地址，专门用于托管恶意软件。

而其余部分则是被黑客入侵的服务器上托管的僵尸网络C&C服务器。据报道，用于恶意软件和网络犯罪活动购买的和被黑的服务器比例与2016年保持一致。

　　Pony在C&C服务器中应用最为普遍

被Spamhaus收录的C&C服务器最常见的一类被用于一种信息窃取木马Pony，它可以从受感染的设备收集密码，并可选择丢弃其他恶意软件。

由于物联网恶意软件通常互相演化，恶意软件系列之间相互交织在一起，不同的物联网僵尸网络的探测也会被整合到一起。在综合排名中，物联网僵尸网络在2017年发现最常见的C&C服务器中排名第二。

以下是Spamhaus收录的20种最常见的僵尸网络C&C服务器的图表，以及Spamhaus报告中发布的其他统计数据。

 

在2014年统治排行榜之后，被用于ZeuS银行木马的C&C服务器跌出了TOP20；

　　Cerber位居第七名，而勒索软件从2016年开始排名就发生变化，Locky 和TorrentLocker勒索软件跌出TOP20；

　　基于Java的勒索软件在去年一整年都非常流行，像JBifrost (#6) 和 Adwind (#11)这两个基于Java的远程访问工具进入了TOP20；

　　OVH和亚马逊托管着最多的BCL记录。

　　C&C服务器域名的25%是通过Namecheap注册

但除IP地址外，Spamhaus还跟踪并创建了一个域名黑名单—— Spamhaus DBL，以防骗子决定将C&C服务器隐藏在通用域名而不是IP地址之后。

Spamhaus说，骗子通常更喜欢使用域名，租用VPS系统而不是IP地址和被黑的服务器。这些组织的专家解释如下：

　　为了托管他们的僵尸网络控制器，网络犯罪分子通常更愿意使用专门注册的域名。这是因为专用域名允许网络犯罪分子启动新的VPS，加载僵尸网络控制器工具包，并在他主机提供商关闭其C&C服务器之后立即重新联系僵尸网络。无需更改僵尸网络中每个受感染计算机的配置是主要优势。

在年终统计中，很容易看到这种C&C服务器使用域名而非IP地址的的好处。据Spamhaus介绍，该组织的DBL在2017年记录了超过50,000个用于僵尸网络C&C服务器的新域名。

 

根据Spamhaus数据，骗子通常使用.com和.pw域名，并通过美国域名注册商Namecheap注册了超过四分之一的C&C僵尸网络服务器。

(责任编辑：安博涛)