Spamhaus的公司发布报告扩展称，2017年，管理物联网僵尸网络的命令和控制(C&C)服务器的数量比去年翻了一番还多，从2016年的393台增长至2017年的943台。Spamhaus的项目是一家非营利的国际组织机构，专门追踪垃圾信息和相关网络威胁活动如钓鱼，恶意软件和僵尸网络等，向互联网的主要网络，企业和安全供应商提供实时的可执行和高度准确的威胁情报，并与执法部门合作找到并追踪全球各地的垃圾信息和恶意软件来源。

　　僵尸网络IP地址增长32%

Spamhaus公司在2017年总结报告中指出，索引了2017年出现的9500多台僵尸网络C&C服务器，比去年增长32%。这个数字(9500+)包括由多种类型设备(并不仅仅是物联网设备)组成的僵尸网络的C&C服务器IP地址。该数字还包括对所有网络犯罪活动使用的C&C服务器检测，这些服务器用于控制DDoS僵尸网络，垃圾信息网络，银行木马，以及用于传播钓鱼和恶意软件感染所收集到的数据的服务器。

　　犯罪分子更倾向于购买而非入侵服务器

在2017年新出现的9500台C&C服务器中，多数(6588个或68%)IP地址跟从网络托管公司购买并专门用户托管恶意软件操作的个人服务器之间存在关联。被黑服务器上的僵尸网络C&C服务器。为实施恶意软件和网络犯罪操作而购买和被入侵服务器之间的比例和2016年的比例一致。

　　小马恶意软件占绝对优势

Spamhaus指出，最常见的C&C服务器类型用于托管Pony恶意软件.Pony是一款信息窃取木马，能从受感染设备中窃取密码且还能选择释放其它恶意软件。由于物联网恶意软件通常基于其它恶意软件，而恶意软件家族之间相互相织，因此对不同物联网僵尸网络的检测混合在了一起。从汇总结果来看，2017年，物联网僵尸网络成为仅次于小马的最常见C&C服务器托管对象。

 

如下是报告中发布的前20大最常见的僵尸网络C&C服务器排名情况：

1.Zeus银行木马的C&C服务器跌至前20名以外，而在2014年曾占主导地位。

2.C&C服务器对于恶意软件行动的作用跟2016年相比发生变化.Locky和TorrentLocker跌出前20名而Cerber排名提升至第7位。

3.赶上Java在去年风头正劲，基于Java的RAT如JBifrost(排名第6)和Adwind(排名第11)跻身前20名。

4.Spamhaus在托管在合法托管提供商基础设施上的C&C服务器黑名单(BCL)中平均增添了600到700个新IP地址。

5.OVH和亚马逊在BCL列表中占比最大。

　　25%的C&C服务器域名注册于Namecheap

除了IP地址外，Spamhaus还追踪并创建域名黑名单即Spamhaus DBL，以防犯罪分子将C&C服务器隐藏在通用域名而非IP地址背后。

Spamhaus公司表示，犯罪分子通常选择使用域名和租赁VPS系统而非使用IP地址并入侵服务器。公司专家解释称，原因是犯罪分子能通过专用域名发动VPS，加僵尸网络控制器包并在之前的托管提供商关闭僵尸网络控制器服务器后立即和僵尸网络取得联系。不必更改僵尸网络中每台受感染计算机(僵尸)的配置是其主要优势。

从年末的统计数据中也可看出这一趋势.Spamhaus指出，DBL在2017年记录了僵尸网络C&C服务器所使用的5万多个新域名；从Spamhaus公布的数据来看，犯罪分子通常会使用.com和.pw域名，并且他们通过一家美国域名注册商Namecheap注册了超过四分之一的C&C僵尸网络服务器。

 

(责任编辑：安博涛)