据 Imperva Incapsula 公司公布的 2015 年 Bot Traffic Report（ bot 流量报告），人类五年来首次线上流量超过机器人，占全部线上流量的 51.5%，而在 2013 年的时候仅仅为 38.5%。人类流量占多的情况比较短暂，在最新公布的 2016 年 bot 流量报告中显示，人类在线流量降到了 48.2%，bot 流量达到了 51.8%。 在 bot 流量中，存在好坏之分。好的 bot 网络是指能够增进 web 创新和成长的 bot，通常这些 bot 具有者是合法企业，他们用 bot 来完成一些大数据的任务，比如进行数据搜集或网站扫描等。而坏的 bot 流量，最具代表性的就是僵尸网络。在恶意着手里 bot 网络常常用于发起 DDoS 攻击或执行漏洞扫描等。 在 2016 年 bot 流量报告中，好的 bot 流量从去年的 19.5% 上涨到 22.9%。Feed 提取是该分类中最为活跃的，在所有流量中的占比达到了 12.2%。这主要归功于移动应用的广泛使用，反应人类正迁移到移动设备上。而坏的 bot 流量从去年的 28.9% 下降了 0.1%。其中最为活跃的是 Impersonator bots，已经连续五年蝉联这一位置，在所有 Imperva 网络中的占比达到了 24.3%。Impersonator bots 通常用于发起 DDoS 网络攻击，现在最知名的是 Mirai、Nitol 和 Cyclone 等等。 稿源：cnBeta，有删改；封面：百度搜索

安全研究人员Brian Krebs 的个人博客 KrebsOnSecurity 去年 9 月遭到僵尸网络 Mirai 发动的大规模 DDoS 攻击，在攻击发生大约一周之后，被怀疑是攻击发起者的人使用用户名 Anna Senpai 开源了 Mirai 的代码，随后互联网上出现了一大波使用僵尸网络的模仿攻击。那么，Anna Senpai 究竟是谁？ Krebs 展开了漫长的搜寻并在近日发表了长篇调查报告，认为 Senpai（aka OG_Richard_Stallman，exfocus，ogexfocus 和 dreadiscool）是罗格斯大学学生、是提供了 DDoS 防御服务的 Protraf Solutions 总裁 Paras Jha。Senpai 使用过化名 OG_Richard_Stallman 、也用过邮件 ogmemes123123@gmail.com 在 Facebook 上注册 同名账号，账号简介称他从 2015 年起开始就读罗格斯大学的计算机工程。不过 Paras Jha 对研究人员的指控予以否认，声称没有开发 Mirai 和参与 DDoS 攻击。 稿源：cnBeta.com，封面：百度搜索    

瑞士政府计算机应急响应中心（ GovCERT ）成功分析出了僵尸网络 Tofsee 用于通信的 C&C 服务器的域名生成算法、并封锁了约 520 个瑞士域名，大大削弱了僵尸网络 Tofsee 的能力。 GovCERT 捕获了僵尸网络 Tofsee 的恶意软件样本，发现僵尸网络的域名是算法生成的，且约一半以上的站点使用瑞士顶级域名，剩下的使用 .biz 商业专用域名。这引起了当局极大的关注，经研究分析最终破解了域名生成算法的运算模式并推算出接下来 12 个月中可能会使用到的 520 多个瑞士顶级域名。 恶意软件 Tofsee DNS 查询查询截图 GovCERT 根据算法得出了一个域名黑名单，并通知瑞士域名注册中心将黑名单列表域名暂时封掉，僵尸网络在将来的一年内都无法使用这些域名发送命令。但僵尸网络还可以使用 .biz 域名进行通信，还无法彻底阻断僵尸网络间的通信联系。僵尸网络使用域名生成算法（DGAs）的“好处”在于：受影响设备只需根据算法得出下一次进行通信的域名地址，并在特定的时间访问由僵尸网络作者临时注册使用的域名接受信息即可，这大大减少了被发现的可能性。 虽然，GovCERT 的这次行动不会对垃圾邮件和恶意软件的扩散产生很大的影响，但是，这是一个国家 CERT 中心正确使用其职能的表现，有助于瑞士整治网络环境、减少恶意软件的来源。 稿源：本站翻译整理，封面来源：百度搜索

美国和欧盟的执法人员本月上旬联合打击 DDoS 僵尸网络的租赁者，约有 34 人被捕，大部分人还不到 20 岁。这次行动被称为 Operation Tarpit，嫌疑人租赁僵尸网络对游戏服务商、政府机构、ISP 或学校发动过 DDoS 攻击。 这次行动始于对英国 DDoS 租赁服务 Netspoof 的调查，Netspoof 的创始人是 20 岁的英国人 Grant Manser，他通过出售 DDoS 攻击服务赚取大约 5 万英镑，由于业务快速扩张使他必须雇佣员工，就在他使用 PayPal 处理交易时被执法部门成功追踪。 在此次 FBI 的行动中被捕的其中一名是 26 岁的南加州大学计算机科学研究生，他曾在 2014 年购买 DDoS 租赁服务“ Xtreme Stresser”，并对聊天服务 Chatango 发动了 DDoS 攻击 。作为惩罚他将面临最高 10 年徒刑和最高 25 万美元罚款。这位学生在缴纳了 10 万美元保释金后被释放，但仍然被禁止访问黑客论坛如 HackForums、禁止使用 VPN 之类工具。 稿源：solidot奇客，封面：百度搜索

据 cloudflare 消息，安全研究人员近日发现了一种新的 DDoS 攻击僵尸网络，已针对美国西海岸等地区进行网络攻击长达 10 日之久。 这个尚未被命名的僵尸网络攻击于感恩节前夕（11月23日）被研究人员发现，在 8.5 个小时内不间断对目标进行 DDoS。 安全公司 Cloudflare 表示，这些僵尸网络攻击十分有规律。 “黑客从黑色星期五开始夜复一夜进行 DDoS 攻击，流量基本维持在 320 gbps，峰值可达 480 gbps”。然而从本周二（ 11 月 29 日）起，事情变得有趣了，攻击者在休息一天之后开始了 24 小时不间断的工作。 最引起研究人员好奇的是，这些攻击并非来自近日非常流行的 Mirai 僵尸网络，他们使用不同软件并且是针对 TCP（L3/L4） 协议发起的攻击，受攻击地区也主要集中于美国西海岸。 物联网僵尸网络引起了越来越多的关注。由于 Mirai  源代码的公开发布，网络犯罪分子也早已采取措施积累属于自己的僵尸网络大军、频繁发动攻击测试影响力。研究发现黑客们或使用 DDoS 攻击作为掩饰，暗中进行其他类型的网络犯罪，如窃取敏感数据等，令人担忧的是，2017 年 DDoS 攻击或借助各大僵尸网络进一步崛起。 稿源：本站翻译整理， 封面： 百度搜索

据外媒报道，2016 年 11 月 30 日，经过四年多的调查，来自德国警察、美国司法部和联邦调查局、欧洲刑警组织等 30 个国家的检察官和调查人员进行了一场国际执法合作，摧毁了国际犯罪基础设施平台 Avalanche 。 Avalanche 网络是一个用于启动和管理大规模全球恶意软件攻击和洗钱活动的交付平台。 国际刑警组织发现 Avalanche 在 2009 年开始利用僵尸网络发送钓鱼邮件、恶意软件，占当年所有网络钓鱼攻击钓鱼三分之二的份额，利用强大的躲避技术防范执法机关的追查。 这次逮捕行动，共逮捕了 5 人，搜查了 37 处房屋，并查获了 39 台服务器，发现 180 多个国家的受害者感染了恶意软件，并联系运行商远程强制关闭了 221 个服务器。这次行动堪称史上最大规模的利用恶意网络流量打击僵尸网络行动，超过 80 万恶意网站被阻断。 此前，欧洲刑警组织还了开展“钱骡行动”打击网络金融犯罪、逮捕 178 人。这次国际行动再次体现司法、执法部门与运行商的合作可以有效打击网络金融犯罪团伙。 稿源：本站翻译整理，封面来源：百度搜索

据外媒报道，安全公司了 MalwareMustDie 新发现一个针对基于 Linux 的物联网设备的恶意软件，可将设备纳入僵尸网络并发动DDoS攻击，这个新的恶意软件使用 C ++ 编写并被命名为 Linux / IRCTelnet 。IRCTelnet 通过暴力破解设备的远程登录（Telnet）端口，感染设备的操作系统，并将设备添加到通过 IRC （互联网中继聊天协议）控制的僵尸网络。 IRCTelnet 结合了其他物联网恶意软件的“长处”，比如借鉴 Kaiten 使用IRC协议控制受感染设备、GafGyt（也称为 Torlus、Lizkebab、Bashlite、Bashdoor ）的 Telnet 扫描和暴力破解系统能力、 Mirai 使用的默认远程登录凭据组合列表。 IRCTelnet 还可以伪装成 IPv4 或者 IPv6 地址发动如 UDP-flood 或者 TCP-flood 类型的 DDoS 攻击。研究员查看连接僵尸网络的 IRC 频道后发现，僵尸网络已经有 3400 个“成员”了。 稿源：本站翻译整理，封面来源：百度搜索

据外媒报道，僵尸网络 Mirai 已经感染了 164 个国家的物联网设备。安全公司 Imperva 研究员称在八月时就已经发现被僵尸网络感染的 49657 个不同的IP地址，这些 IP 地址位于 164 个国家。在前 10 个最严重的地区中越南最多占 12.8% ；其次巴西 11.8%；美国 10.9%；中国 8.8%；墨西哥 8.4%；剩下的是韩国、台湾省、俄罗斯、罗马尼亚以及哥伦比亚。另外还有些不常见的国家也在其中，比如黑山共和国、塔吉克斯坦以及索马里等。现在 Flashpoint 安全公司研究员称受感染的设备已经达到 50 万台。 稿源：本站翻译整理，封面来源：百度搜索

新加坡三大电信运营商之一的 StarHub 公司 26 日公开表示，公司的 DNS 基础设施在 22 日、24 日接连遭受大规模分布式拒绝服务（ DDoS ）攻击，导致部分宽带用户网络中断。调查显示黑客所使用的攻击方式与上周美国东西部大面积网络瘫痪的攻击手法相似。 新加坡网络安全机构（CSA）和新加坡资讯通信媒体发展管理局（IMDA）已开始介入调查。官方透露，网络日志记录显示此次 DNS 是“故意并且可能是恶意的”，并不是随机事件。 尽管两拨攻击来自公司用户的设备，类似 Dyn DDoS 事件的手法，但目前并没有任何证据显示有用户设备感染恶意软件。 稿源：本站翻译整理，封面来源：百度搜索

据外媒报道，近日爆发的僵尸网络是由名叫“ TheMoon ”的蠕虫创建的，针对家庭路由器。 2014 年初 SANS 互联网风暴中心研究员发现了该蠕虫，“ TheMoon ” 曾感染大量 Linksys 路由器模型设备一度成为当时的头条新闻。值得称道的是， Linksys 反应相当迅速，及时发布了固件更新，但许多设备仍存在漏洞。 据网络安全设备供应商 Fortinet 10 月 20 日发布的报告。该蠕虫一直活跃并改进增加了针对华硕路由器的代码，其源码引入了 CVE-2014-9583 漏洞，允许蠕虫向华硕路由器发送恶意 UDP 包，绕过身份验证程序并在设备上执行代码。此外 TheMoon 添加新的防火墙规则，阻止其他恶意软件劫持设备。 从新的防火墙规则中，研究人员还发现，它“修复了” D-Link 路由器的 HNAP SOAPAction-Header 命令执行漏洞，尽管目前还没受感染，但这意味着该蠕虫还针对 D-Link 路由器。 僵尸网络 TheMoon 的大小目前是未知的，但考虑到过去的“底子”规模应该还不小。 稿源：本站翻译整理，封面来源：百度搜索