逾19年來,Nominum(于2017年被Akamai收購)一直致力于利用深度DNS數據來增強保護,抵御分布式拒絕服務(DDoS)、勒索軟件、特洛伊木馬和僵尸網絡等復雜網絡攻擊。Akamai的《運營商洞察報告》以Nominum的專長為基礎,重點解析了基于DNS的安全機制的有效性(這種安全機制可借助來自其它安全防御層的數據進一步加強)。這種分層安全方法需要綜合各種安全解決方案來共同保護企業機構的數據。
Akamai威脅情報部門數據科學總監Yuriy Yuzifovich表示:“如果我們只是孤立地了解單個系統面臨的攻擊,則不足以做好準備應對如今復雜的威脅形勢。因此,跨不同團隊、系統和數據集了解情況,與不同的平臺進行溝通變得至關重要。我們相信,我們所提供的DNS查詢服務是一個戰略性的組成部分,能夠為安全團隊提供應對整個威脅環境所需的相關數據。”
應對Mirai僵尸網絡:協作行動
Akamai內部團隊之間的協作對于發現Mirai命令和控制(C&C)域起到了關鍵作用,使日后的Mirai檢測變得更加全面。Akamai安全智能響應團隊(SIRT)自Mirai出現以來就一直密切留意該惡意軟件,利用蜜罐(Honeypots)檢測出Mirai通信并找到其C&C服務器。
2018年1月末,Akamai安全智能響應團隊和Nominum團隊共享了一個包含500多個可疑Mirai C&C域的列表。此舉的目的是為了了解人們是否可以利用DNS數據和人工智能來擴充這個C&C列表,使日后的Mirai檢測更加全面。通過多層分析,兩個團隊聯手成功擴充了Mirai C&C數據集,并發現了Mirai僵尸網絡與Petya勒索軟件發布者之間的關聯。
這次協作分析表明,IoT僵尸網絡在不斷演變,從幾乎只是用于發動DDoS攻擊發展為從事更復雜的活動,例如惡意軟件發布和加密貨幣挖礦。IoT僵尸網絡很難檢測,因為對大多數用戶來說,它們的威脅跡象極少。盡管如此,這些團隊的協作研究仍證明,Akamai有機會找到并攔截數十個新出現的C&C域,從而控制僵尸網絡的活動。
Javascript加密貨幣挖礦軟件:一種非法的業務模式
由于公眾對加密貨幣的使用率和使用量呈指數級增長態勢,加密貨幣挖礦惡意軟件的數量以及被其感染的設備數量也在急劇上升。
Akamai觀察到兩種不同的大規模加密貨幣挖礦業務模式。第一種模式利用被感染設備的處理能力來挖掘加密貨幣代幣(cryptocurrency tokens)。第二種模式利用嵌入到內容網站的代碼來使訪問網站的設備為加密貨幣挖礦軟件工作。Akamai對第二種業務模式進行了大量分析,因為它給用戶和網站所有者帶來了新的安全挑戰。通過對加密貨幣挖礦軟件的域進行分析,Akamai能夠估計出這項活動在計算能力和金錢收益方面產生的成本。一個根據這項研究作出的有趣推斷是,加密貨幣挖礦可能取代廣告收入成為可行的網站籌資方案。
不斷變化的威脅:惡意軟件和攻擊被用于其它用途
網絡安全并不是一個靜態的行業。研究人員發現,黑客會將陳舊的技術重新用于當今的數字環境中。在Akamai收集這些數據的6個月間,一些廣為人知的惡意軟件活動和攻擊在運作程序上有了明顯變化,其中包括:
- 2017年11月24日至12月14日期間,Web代理自動發現(WPAD)協議被用于向Windows系統發起中間人(Man-in-the-Middle)攻擊。WPAD本應該用于受保護的網絡(即LAN)上,如果暴露于互聯網中,會導致計算機容易遭受大型攻擊。
- 除了收集財務信息之外,惡意軟件開發者還開始收集社交媒體登錄信息。Terdot是Zeus僵尸網絡的一個分支,它會創建本地代理,使攻擊者可以進行網絡間諜活動,還會在受害者的瀏覽器中推送虛假新聞。
- 僵尸網絡開發者開始打造更靈活的工具,Lopai僵尸網絡就是一例。這款移動惡意軟件主要針對Android設備,通過采用模塊化方法使所有者可以創建帶有新功能的更新。
請點擊此處,免費下載《2018年春季互聯網安全狀況:運營商洞察報告》。
京公網安備 11010502049343號