引言：網(wǎng)絡(luò)釣魚(yú)攻擊的隱蔽性與復(fù)雜性持續(xù)升級(jí)

近年來(lái)，網(wǎng)絡(luò)釣魚(yú)攻擊已成為全球網(wǎng)絡(luò)安全領(lǐng)域的核心威脅之一。攻擊者通過(guò)偽造合法網(wǎng)站、發(fā)送欺詐性郵件、植入惡意鏈接等手段，不斷竊取用戶敏感信息、破壞企業(yè)系統(tǒng)安全。2024年下半年，隨著僵尸網(wǎng)絡(luò)命令與控制（C&C）活動(dòng)的演變以及滲透測(cè)試工具被濫用的激增，網(wǎng)絡(luò)釣魚(yú)攻擊的技術(shù)手段愈發(fā)隱蔽，防御難度顯著提升。公共互聯(lián)網(wǎng)反網(wǎng)絡(luò)釣魚(yú)工作組基于世界反垃圾郵件組織Spamhaus的相關(guān)數(shù)據(jù)，深入分析2024年7月至12月全球網(wǎng)絡(luò)釣魚(yú)威脅態(tài)勢(shì)，并提出應(yīng)對(duì)策略。

Top 20 僵尸網(wǎng)絡(luò)（C&Cs）所在國(guó)家和地區(qū)[注]

01、僵尸網(wǎng)絡(luò)C&C活動(dòng)與網(wǎng)絡(luò)釣魚(yú)攻擊的深度關(guān)聯(lián)

（一）C&C服務(wù)器：

網(wǎng)絡(luò)釣魚(yú)的“中樞神經(jīng)”

僵尸網(wǎng)絡(luò)C&C服務(wù)器作為攻擊者操控受感染設(shè)備的核心樞紐，在網(wǎng)絡(luò)釣魚(yú)攻擊鏈中扮演關(guān)鍵角色。2024年下半年，全球僵尸網(wǎng)絡(luò)C&C活動(dòng)總量雖同比下降4%，但部分地區(qū)的威脅態(tài)勢(shì)依然嚴(yán)峻。例如，中國(guó)托管了全球最多的僵尸網(wǎng)絡(luò)C&C服務(wù)器（共計(jì)3535個(gè)），較排名第二的美國(guó)（2286個(gè)）高出35%。此類服務(wù)器常被用于分發(fā)釣魚(yú)郵件、托管虛假登錄頁(yè)面或竊取用戶憑證，其地理分布直接影響攻擊的覆蓋范圍與效率。

（二）滲透測(cè)試工具濫用：

攻擊門檻的降低

滲透測(cè)試框架Cobalt Strike和Brute Ratel C4的濫用比例在2024年下半年分別增長(zhǎng)12%和43.73%。這些工具本用于安全測(cè)試，但其破解版本在地下論壇的流通使得攻擊者能夠快速構(gòu)建釣魚(yú)攻擊基礎(chǔ)設(shè)施。例如，Brute Ratel C4通過(guò)高隱蔽性通信協(xié)議繞過(guò)檢測(cè)，被廣泛用于定向釣魚(yú)攻擊。遠(yuǎn)程訪問(wèn)木馬（RAT）如Remcos（增長(zhǎng)72%）則進(jìn)一步強(qiáng)化了攻擊者對(duì)受害者設(shè)備的控制能力，為大規(guī)模數(shù)據(jù)竊取提供了便利。

（三）移動(dòng)端威脅：

Android后門的持續(xù)活躍

盡管Android后門相關(guān)的C&C活動(dòng)占比從20.01%降至13.94%，但Coper惡意軟件的爆發(fā)式增長(zhǎng)（152%）表明移動(dòng)端釣魚(yú)攻擊風(fēng)險(xiǎn)仍在攀升。攻擊者通過(guò)偽裝成合法應(yīng)用誘導(dǎo)用戶下載，進(jìn)而遠(yuǎn)程操控設(shè)備、竊取短信驗(yàn)證碼或銀行賬戶信息。此類攻擊對(duì)個(gè)人用戶及企業(yè)移動(dòng)辦公環(huán)境構(gòu)成雙重威脅。

與僵尸網(wǎng)絡(luò)（C&Cs）相關(guān)的惡意軟件[注]

02、被濫用域名：網(wǎng)絡(luò)釣魚(yú)的“隱身衣”狀況

（一）頂級(jí)域名濫用：

.top與.xyz的“重災(zāi)區(qū)”

2024年下半年，.top域名托管的僵尸網(wǎng)絡(luò)C&C服務(wù)器數(shù)量激增974%，達(dá)到1514個(gè)。盡管ICANN已針對(duì)其DNS濫用問(wèn)題發(fā)出違規(guī)通知，但高性價(jià)比和寬松的注冊(cè)政策仍使其成為攻擊者的首選。相比之下，.com域名雖總量龐大（1.54億個(gè)），但濫用比例僅為0.00114%；而小眾域名如.monster（0.148%）則因監(jiān)管薄弱成為高發(fā)目標(biāo)。

（二）域名注冊(cè)商：

治理漏洞亟待填補(bǔ)

國(guó)內(nèi)某域名注冊(cè)商的新注冊(cè)僵尸網(wǎng)絡(luò)C&C域名在2024年下半年增長(zhǎng)757%，總量達(dá)1636個(gè)。這一現(xiàn)象暴露出個(gè)別注冊(cè)商在域名注冊(cè)審核機(jī)制及合規(guī)管理方面存在一定疏漏。與此同時(shí)，行業(yè)內(nèi)多數(shù)域名注冊(cè)商通過(guò)強(qiáng)化風(fēng)險(xiǎn)控制，明確內(nèi)部職責(zé)分工，優(yōu)化跨部門協(xié)作流程，實(shí)現(xiàn)域名濫用減少63%，有效遏制了域名濫用現(xiàn)象，這體現(xiàn)了積極治理策略的重要性及其成效。

惡意軟件類型[注]

03

國(guó)際協(xié)作與技術(shù)反制：成效與挑戰(zhàn)并存

（一）區(qū)域性治理成果顯著

部分國(guó)家通過(guò)立法與執(zhí)法協(xié)作，顯著遏制了C&C服務(wù)器的增長(zhǎng)。例如，保加利亞在2024年上半年經(jīng)歷162%的激增后，下半年通過(guò)專項(xiàng)打擊行動(dòng)實(shí)現(xiàn)24%的降幅；墨西哥、法國(guó)分別減少33%和28%的C&C活動(dòng)。然而，荷蘭（6%）、英國(guó)（11%）等歐洲國(guó)家的增長(zhǎng)趨勢(shì)，以及摩洛哥首次發(fā)現(xiàn)C&C活動(dòng)，表明了攻擊者向監(jiān)管寬松地區(qū)轉(zhuǎn)移的動(dòng)向。

2024年7月-12月最容易被濫用的頂級(jí)域名[注]

（二）技術(shù)防御手段的迭代

Spamhaus等機(jī)構(gòu)通過(guò)實(shí)時(shí)威脅情報(bào)共享，協(xié)助全球企業(yè)識(shí)別并阻斷釣魚(yú)攻擊。2024年下半年，其共監(jiān)測(cè)到13,720個(gè)活躍C&C服務(wù)器，較上半年減少4%。此外，AI驅(qū)動(dòng)的異常流量檢測(cè)、多因素認(rèn)證（MFA）的普及，以及零信任架構(gòu)的部署，大幅提升了企業(yè)對(duì)釣魚(yú)攻擊的抵御能力。

04、應(yīng)對(duì)策略：構(gòu)建全鏈條防御體系

（一）強(qiáng)化域名注冊(cè)監(jiān)管

注冊(cè)商責(zé)任：要求注冊(cè)商實(shí)施實(shí)名認(rèn)證、加強(qiáng)域名用途審查，對(duì)濫用行為采取即時(shí)封禁措施。

TLD治理：推動(dòng)ICANN對(duì)高濫用率頂級(jí)域名（如.top和.xyz）實(shí)施更嚴(yán)格的準(zhǔn)入與監(jiān)控機(jī)制。

2024年7月-12月被濫用域名所屬注冊(cè)商排名[注]

（二）技術(shù)防御升級(jí)

企業(yè)層面：部署郵件安全網(wǎng)關(guān)（SEG）、URL過(guò)濾系統(tǒng)，并定期更新威脅情報(bào)庫(kù)。

個(gè)人用戶：普及安全意識(shí)培訓(xùn)，警惕不明鏈接與附件，啟用MFA保護(hù)關(guān)鍵賬戶。

（三）國(guó)際合作與立法

跨境協(xié)作：建立全球性的C&C服務(wù)器黑名單共享機(jī)制，聯(lián)合打擊跨國(guó)網(wǎng)絡(luò)犯罪。

法律威懾：推動(dòng)各國(guó)立法嚴(yán)懲網(wǎng)絡(luò)釣魚(yú)與工具濫用行為，提高違法成本。

2024年7月-12月被濫用域名來(lái)源國(guó)家和地區(qū)排名[注]

05、共筑無(wú)“釣”未來(lái)

網(wǎng)絡(luò)釣魚(yú)攻擊的防御是一場(chǎng)持久戰(zhàn)，需政府、企業(yè)、技術(shù)機(jī)構(gòu)與公眾協(xié)同努力。公共互聯(lián)網(wǎng)反網(wǎng)絡(luò)釣魚(yú)工作組將持續(xù)監(jiān)測(cè)威脅動(dòng)態(tài)，推動(dòng)技術(shù)創(chuàng)新與國(guó)際合作，為構(gòu)建安全、可信的網(wǎng)絡(luò)空間貢獻(xiàn)力量。

注：數(shù)據(jù)來(lái)源于Spamhaus（世界反垃圾郵件組織）