Fortinet上周发布《2018年第一季度威胁态势报告》。报告统计了针对桌面、移动端、服务器、物联网和网络设备的多种僵尸网络数据，得出结论称绝大多数僵尸网络恶意软件攻击持续不到一天。

报告显示，58%的僵尸网络攻击持续不超过一天；17.6%的僵尸网络可以持续两天；7.3%的僵尸网络能持续三天，而只有5%的僵尸网络可以持续一个多星期。

 

僵尸网络攻击持续天数情况

持续时间最长的僵尸网络是mirai，主要用于DDoS攻击和流量代理服务。Mirai僵尸的平均寿命为5.5天。紧随Mirai之后的是Sality(垃圾邮件和代理)、Ramnit(银行木马)、H蠕虫(下载程序)、Necurs(垃圾邮件)等(请参见下图)。

 

不同僵尸网络持续天数排行

Fortinet表示，尽管Mirai僵尸的持续时间长，但并不是最流行的僵尸网络。在2018年第一季度，传播最广的是Gh0st恶意软件感染受害者之后组成的僵尸网络，其感染范围在全球排名第一。Gh0st是一种相对较新的“恶意软件下载程序”。受害者感染 Gh0st 之后，被感染的PC成为僵尸并被其他恶意攻击者利用。

此外，Pushdo垃圾邮件僵尸网络和Andromeda僵尸网络的感染范围也很广。虽然这两个僵尸网络原本遭遇过执法部门的打击，但现在又卷土重来。因为Andromeda的源代码早在几年前就在网上泄露，就算原来的僵尸网络已经被移除，攻击者也可以在几天之内安装并运行新的Andromeda僵尸网络。

 

不同僵尸网络在不同地区攻击持续天数情况

总体而言，僵尸网络的数量在2018年第一季度不断减少。大多数僵尸网站消失或被关闭，还有很多僵尸网络的活动少于上一季度(下图中大量红色箭头代表数量下降)。

 

不同僵尸网络在第一季度的数量变化

这份报告还得出了一些其他结论：

第一季度一共检测到268个不同的僵尸网络；

第一季度每个公司平均感染天数为6.6天；

第一季度每个公司平均感染1.8个活跃的僵尸网络；

第一季度2.8%的公司遭遇到的僵尸网络攻击超过10个。

报告还提供了更多关于僵尸网络活动的分析，以及一般恶意软件和漏洞利用工具包概况，感兴趣的读者可以点击此处阅读原文。

(责任编辑：安博涛)