2018年上半年僵尸网络活动：多功能僵尸程序越来越普遍

僵尸网络——是由被入侵的设备组成的用于犯罪行动的网络——网络罪犯利用僵尸网络传播恶意软件，实施DDoS攻击和垃圾邮件攻击。使用卡巴斯基实验室的僵尸网络追踪技术，公司的研究人员持续监控僵尸网络的活动，以防止即将发生的攻击，或者将新兴银行木马扼杀在萌芽状态。该技术的工作原理是通过模拟被入侵的设备，捕获来自威胁攻击者用来传播恶意软件的命令。这种做法能够为研究人员提供宝贵的恶意软件样本和统计数据。

根据最近的研究结果，2018年上半年与2017年下半年相比，通过僵尸网络传播的单一目的的恶意软件比例大幅下降。例如2017年下半年，卡巴斯基实验室监控到，通过僵尸网络传播的恶意文件中，有22.46%为银行木马，而到2018年上半年，通过僵尸网络传播的银行木马下降了9.21个百分点，僵尸网络追踪服务检测到的这类恶意文件仅占13.25%。

垃圾邮件僵尸程序是另一种通过僵尸网络传播的单一目的的恶意软件，这种恶意软件的比例同样显著下降：从2017年下半年的18.93%下降到2018年上半年的12.23%。DDoS僵尸程序是另一种典型的单一目的恶意软件，其通过僵尸网络传播的比例同样下降，从2017年上半年的2.66%下降到2018年上半年的1.99%。

与此同时，最为显著的增长体现在具备多功能性质的恶意软件上，尤其是可以提供近乎无限机会利用受感染计算机的远程访问工具(RAT)恶意软件。从2017年上半年开始，通过僵尸网络传播的RAT文件比例几乎翻倍，从6.55%增加到12.22%。Njrat、DarkComet和Nanocore位列传播最广的远程访问工具(RAT)之首。由于上述三种后门程序结构相对简单，甚至非专业的威胁攻击者也能对其进行修改。这使得这些恶意软件适于在特定的地区进行传播。

木马也被用于多种目的，其增长没有像远程访问工具那样显著。但另一方面，与很多单一目的的恶意软件不同，检测到的这些文件的比例同样有所增加，从2017年下半年的32.89%增长到2018年上半年的34.25%。与后门程序一样，一个木马家族可以被修改出很多种，被多个命令和控制(C&C)服务器所控制，每个都出于不同的目的，例如进行网络间谍攻击或窃取登陆凭证。

卡巴斯基实验室安全专家Alexander Eremin说：“远程访问工具(RAT)和其他用途的恶意软件在僵尸网络的帮助下处于领先的传播地位，原因很明显：拥有僵尸网络需要花费大量的金钱，为了获利，网络罪犯需要利用每一个机会通过恶意软件获利。利用多用途恶意软件打造的僵尸网络能够相对较快地改变其功能，从发送垃圾邮件转到进行DDoS攻击，或者传播银行木马。而这些能力本身也能够让僵尸网络所有者在不同的“主动“恶意业务模型之间切换，还开启了获得被动收入的机会：所有者可以将自己的僵尸网络出租给其他网络罪犯”

唯一一种在僵尸网络中表现出显著增长的单一目的恶意程序是加密货币挖矿软件。尽管其所占的百分比无法与高度流行的多功能恶意软件相比，但它们的份额增加了两倍，这符合我们的专家之前发现的恶意挖矿软件热潮到来的整体趋势。

为了降低您的设备成为僵尸网络的一部分，我们建议用户：

· 一旦有可用的修复最新错误的安全更新，尽快修复您的计算机上的软件。未修补的设备可被网络罪犯利用并连接到僵尸网络。

· 不要下载盗版软件和其他非法内容，因为这些内容经常被用来传播恶意僵尸程序。

· 使用卡巴斯基安全软件保护您的计算机抵御这类恶意软件，包括用来创建僵尸网络的恶意软件。