研究人员对僵尸网络的认知仅停留在带有恶意软件链接的垃圾邮件和下载其他恶意软件的木马，而这些仅仅是僵尸网络常用的一些场景而已。僵尸网络可能是一个勒索软件，一个银行木马，一个挖矿软件，一个后门……比如今年3月底新发现的Gandcrab变体、6月新发现的Trik僵尸网络、Locky攻击的频繁活动以及Necurs（在过去五年中，Necurs僵尸网络已经发展成为全球最大的垃圾邮件传播组织）的更新迭代。现在，卡巴斯基实验室每天都会拦截发送给各种类型恶意软件和木马家族的大量文件下载命令。在本文，我会以卡巴斯基实验室在2017年下半年和2018年上半年的僵尸网络活动分析结果为例，进行详细说明。 [出自:jiwo.org]

统计样本的选择

统计数据中不包括由木马下载的更新文件，因为它们的数量在很大程度上取决于特定恶意软件的算法，并对最终的传播产生影响。本次分析还排除了依赖僵尸网络算法下载的配置文件，这些文件与本文无关。更重要的是，研究人员只考虑了一种文件，即含有MD5哈希值的文件。本文的结果是基于对60000多个不同的C&C命令的分析，这些命令与150个木马家族有关。

卡巴斯基实验室还使用了僵尸网络跟踪技术(Botnet Tracking)跟踪僵尸网络的活动。僵尸网络跟踪技术是一种模拟被感染计算机木马的技术，用于检索僵尸网络幕后的操作数据。

研究人员所模拟的木马在2018年上半年下载的恶意文件总数比2017年下半年下降了14.5%。

下载种类的变化

在分析了木马下载的文件后，研究人员确定了下载种类最频繁的一些僵尸网络。不过，根据分析，比较流行的下载僵尸网络，在数量到达一定峰值后，基本上就保持稳定了。2018年和2017年一样，njRAT后门占了很多下载份额。它在所有由木马下载的文件中所占的份额从3.7%增加到5.2%，这意味着每20个木马下载的文件中就有1个多是njRAT产生的。这种广泛的传播源自于恶意软件的各种版本迭代和后门使用的设置门槛较低。

通常，僵尸网络被用来传播加密货币挖掘工具。在2018年的上半年，挖矿软件占所有下载文件的4.6%，远高于2017年下半年的2.9%。

然而，攻击者对普通货币的网络犯罪兴趣仍然很高，Neutrino.POS和 Jimmy在前10名中的存在证明了这一点。在2017年下半年的所有案例中，有4.6％的僵尸网络下载了Neutrino.POS。而在2018年，它在整个下载文件中的份额有所下降，但它的变体Jimmy下载量却突增，将银行木马的份额增加了1.1%。

在2018年上半年，Khalesi排名第三，占下载文件的4.9%。但在2017年，Remcos（新型远控木马Remcos与今年3月发现），BetaBot，Smoke和熊猫木马则参与了木马的下载，而到了2018年，Khalesi只被垃圾邮件木马lethicb下载了。

另外，Mail PassView出现在2018年上半年的前10，也令人意外，这是一个合法的为各种电子邮件客户端提供密码恢复的工具，而通过Remcos后门被传播后，它可能被用来获取受害者邮箱的密码。

还有就是名为Cutwail、lethicet和新更名的Emotet木马也位于前10名。与与2017年下半年相比，今年由木马下载的勒索软件加密工具数量有所增加。尽管勒索软件程序的使用数量整体在下滑，但僵尸网络运营商仍在继续向受害者传播这些软件。根据研究，2017年的大多数勒索软件程序都是由Smoke木马下载的，但在2018年，Nitol下载的数量则最多。在2018年下载量最多的新面孔则是GandCrab勒索软件，它在2018年被发现，由几个僵尸网络运营商立即部署和传播，其中最活跃的则是Trik。

就下载文件的攻击能力而言，很大一部分是由银行木马和后门组成，以确保最大限度地窃取重要信息。更重要的是，去年最常见的恶意软件包括大量的垃圾邮件木马， 主要是由于上述的 Lethic僵尸网络下载的。

下载恶意文件种类最多的僵尸网络

在所观察的样本中，研究人员发现了最“万能的”僵尸网络，它下载的恶意文件种类最多，这种多样性可能是以下几个因素造成的结果:

1.不同的僵尸网络由不同的运营商管理，目标也不尽相同；

2.运营商将他们的僵尸网络租赁出去，允许其他人用来传播恶意软件；

3.僵尸网络的功本身功能也在变化，例如，Emotet从一个银行木马变成了一个垃圾邮件木马；

2018年和2017年一样，最万能的的木马是Hworm, Smoke和BetaBot(又名Neurevt)。

正如研究人员在上面提到的那样，货币挖掘软件是非常流行的，这从统计数据也能被证实。尽管被下载的恶意软件种类繁多，但挖矿软件最终还是排在了前三名。

后门也很重要，因为它们为网络犯罪分子提供了广泛的选择，从保存屏幕截图和按键再到直接控制目标设备，其功能无所不在。

最“国际化”的下载僵尸网络

在控制服务器的地域分布方面，Njrat后门毫不意外是“最国际化”的下载僵尸网络，其C&C中心分布在99个国家。之所以分布这么广，是因为Njrat的个人后门配置非常简单，它允许任何人创建自己的僵尸网络，即使你不懂得软件开发的知识也不要紧。

接下来是后门DarkComet和NanoCore RAT，它们位列2，3名，在全球近80个国家拥有c&c。尽管NanoCore的创始人目前已经被捕，但他还是成功地出售了他自己开发的RAT木马的源代码。目前，它的使用率非常高。

从感染目标的地理位置上看，另一个后门QRAT的传播范围最大。在2017年下半年，研究人员在190个国家进行了感染尝试，今年QRAT又增加了对两个国家的攻击，总数达到192个国家。

之所以会有如此广泛的感染，是由于SaaS(软件即服务)的出现，或者更确切地说，是MaaS(恶意软件即服务)的出现。

总结

通过拦截木马命令，研究人员可以跟踪恶意软件的最新变化趋势，并为用户提供最大限度的保护。

以下是研究人员通过分析由僵尸网络下载的文件得出的主要趋势:

1.随着网络犯罪分子开始将僵尸网络视为一种新型挖掘加密货币的工具，挖矿软件在下载文件中的份额正在增加。

2.总的来说，后门还是占下载的大部分份额，也就是说，僵尸网络运营商希望获得对受感染设备的最大可能控制权限。

3.下载的dropper数量也在增加，这表明攻击是多阶段进行的并且复杂性越来越高。

4.在2018上半年年，银行木马在僵尸网络所下载的文件中所占的份额有所下降。

5.越来越多的僵尸网络是根据客户的需要定制的，在很多情况下，研究人员也很难确定僵尸网络的幕后开发者是否就是同一个团队。