Blue Coat公司安全实验室近期发布了最新报告《“一日游”主机:恶意软件如何在短命网站中隐藏自己》,其中详细说明了这些“短命”网站的本质和活动,帮助我们更好地了解那些存在时间不超过24小时的网站对安全的潜在影响。潮起潮落,花开花谢,如今的互联网世界网站也是起伏来往、变化万千。最近,Blue Coat安全实验室团队深入研究了组成Web的主机名称,其中许多主机转瞬即逝的特质确实令人惊讶。
在最近90天的流量中,Blue Coat安全实验室共统计到了超过6.6亿个主机名称。(全球每10.6个人就有一个主机名)。尽管主机数量之多值得注意,但是更引人注目的是:许多主机在90天窗口期内,只出现一天;我们将这些主机称为“一日游主机”。 71%(约4.7亿)主机稍纵即逝,以至于它们在12周的周期内只出现在一天的流量中。尽管新网站和服务上线的速度非常快,互联网具有高度分布的特征,但这一比例似乎还是有些极端——到底是怎么回事?
昙花一现的存在,让专家们不得不怀疑这些网站瞬息存在的目的。 难道这不是向拼写错误或未分配的主机名发起的无意义请求? 安全专家的思考方向或许会有偏执的一面,但正是这些偏执也给了我们暗示: 这些应当是随机产生的域名,用来控制全球数百万受感染的机器。所以,深入挖掘这些数据,Blue Coat安全实验室带给我们全新的答案。这些被戏称为“一日游”瞬息而逝的主机名称当中,绝大多数在互联网内容的分享和交付中起了重要的作用,但它们也为恶意活动提供了掩护。
如何识别大玩家
主机名可以是数字IP地址,或者文本域名(或子域名)。在一日游主机中,1.64亿使用IP地址作为其主机名称,平均每天高达180万。在普通网络流量中,在三个月周期中只出现一天的公开路由的IPv4地址空间约占5%。 纵观拥有这些IP地址的自治系统(AS),互联网服务提供商和电信公司显然占据了前十名,但是其各自比例如此之低,以至于没有一个实体能够脱颖而出。
查看这些主机的顶级域名(TLD)开始对这些行为的根源所在带来一些启发。TLD.com让其它TLD相形见绌;它比其它所有TLD加在一起还要多2.5倍。也许其它带有.net和.info后缀的TLD也占有一定比例,但显而易见的是,短暂的域名更喜欢.com这样的后缀,而不是其它后缀。进一步挖掘DNS层级会让大玩家现身。
Blue Coat安全实验室指出, “一日游”网站最大的推手包括谷歌、亚马逊和雅虎等一些重要的互联网公司。 Blue Coat还提出,“一日游”网站10大推手中有一个是最流行的色情网站。这些最频繁地使用“一日游”网站的50大父域名中,22%是恶意的。这些域名使用短命网站来推动攻击并管理僵尸网络,利用“新知与未知”的网站来入侵安全解决方案。
企业必须持续地抵御网络攻击,进一步加强安全性:一方面, 安全控件必须获得自动化的实时情报,可以发现这些“一日游”网站,并分配风险级别。仅仅靠静态或缓慢的防御不足以保护用户和公司数据。 另一方面,基于政策的安全控件必须能够根据实时情报来阻止恶意攻击。