2018年4月23日:Akamai今天正式发布《2018年春季互联网安全状况:运营商洞察报告》。该报告通过分析Akamai在2017年9月至2018年2月间从世界各地的通信服务提供商(CSP)网络收集到的超过14万亿次DNS查询,表明信息共享是抵御网络威胁的一个重要助推因素。
逾19年来,Nominum(于2017年被Akamai收购)一直致力于利用深度DNS数据来增强保护,抵御分布式拒绝服务(DDoS)、勒索软件、特洛伊木马和僵尸网络等复杂网络攻击。Akamai的《运营商洞察报告》以Nominum的专长为基础,重点解析了基于DNS的安全机制的有效性(这种安全机制可借助来自其它安全防御层的数据进一步加强)。这种分层安全方法需要综合各种安全解决方案来共同保护企业机构的数据。
Akamai威胁情报部门数据科学总监Yuriy Yuzifovich表示:“如果我们只是孤立地了解单个系统面临的攻击,则不足以做好准备应对如今复杂的威胁形势。因此,跨不同团队、系统和数据集了解情况,与不同的平台进行沟通变得至关重要。我们相信,我们所提供的DNS查询服务是一个战略性的组成部分,能够为安全团队提供应对整个威胁环境所需的相关数据。”
应对Mirai僵尸网络:协作行动
Akamai内部团队之间的协作对于发现Mirai命令和控制(C&C)域起到了关键作用,使日后的Mirai检测变得更加全面。Akamai安全智能响应团队(SIRT)自Mirai出现以来就一直密切留意该恶意软件,利用蜜罐(Honeypots)检测出Mirai通信并找到其C&C服务器。
2018年1月末,Akamai安全智能响应团队和Nominum团队共享了一个包含500多个可疑Mirai C&C域的列表。此举的目的是为了了解人们是否可以利用DNS数据和人工智能来扩充这个C&C列表,使日后的Mirai检测更加全面。通过多层分析,两个团队联手成功扩充了Mirai C&C数据集,并发现了Mirai僵尸网络与Petya勒索软件发布者之间的关联。
这次协作分析表明,IoT僵尸网络在不断演变,从几乎只是用于发动DDoS攻击发展为从事更复杂的活动,例如恶意软件发布和加密货币挖矿。IoT僵尸网络很难检测,因为对大多数用户来说,它们的威胁迹象极少。尽管如此,这些团队的协作研究仍证明,Akamai有机会找到并拦截数十个新出现的C&C域,从而控制僵尸网络的活动。
Javascript加密货币挖矿软件:一种非法的业务模式
由于公众对加密货币的使用率和使用量呈指数级增长态势,加密货币挖矿恶意软件的数量以及被其感染的设备数量也在急剧上升。
Akamai观察到两种不同的大规模加密货币挖矿业务模式。第一种模式利用被感染设备的处理能力来挖掘加密货币代币(cryptocurrency tokens)。第二种模式利用嵌入到内容网站的代码来使访问网站的设备为加密货币挖矿软件工作。Akamai对第二种业务模式进行了大量分析,因为它给用户和网站所有者带来了新的安全挑战。通过对加密货币挖矿软件的域进行分析,Akamai能够估计出这项活动在计算能力和金钱收益方面产生的成本。一个根据这项研究作出的有趣推断是,加密货币挖矿可能取代广告收入成为可行的网站筹资方案。
不断变化的威胁:恶意软件和攻击被用于其它用途
网络安全并不是一个静态的行业。研究人员发现,黑客会将陈旧的技术重新用于当今的数字环境中。在Akamai收集这些数据的6个月间,一些广为人知的恶意软件活动和攻击在运作程序上有了明显变化,其中包括:
- 2017年11月24日至12月14日期间,Web代理自动发现(WPAD)协议被用于向Windows系统发起中间人(Man-in-the-Middle)攻击。WPAD本应该用于受保护的网络(即LAN)上,如果暴露于互联网中,会导致计算机容易遭受大型攻击。
- 除了收集财务信息之外,恶意软件开发者还开始收集社交媒体登录信息。Terdot是Zeus僵尸网络的一个分支,它会创建本地代理,使攻击者可以进行网络间谍活动,还会在受害者的浏览器中推送虚假新闻。
- 僵尸网络开发者开始打造更灵活的工具,Lopai僵尸网络就是一例。这款移动恶意软件主要针对Android设备,通过采用模块化方法使所有者可以创建带有新功能的更新。
请点击此处,免费下载《2018年春季互联网安全状况:运营商洞察报告》。
研究方法
Akamai安全研究部门通过分析每日、每周和每季度的数据集,以预测网络犯罪分子的下一步行动。其目标是在海量的DNS数据中检测攻击信号,并在验证已知攻击类型的同时,检测新的、未知的和未命名的恶意活动。除了使用商业和公共数据源之外,该团队还每天分析来自Akamai客户的1000亿次查询。Akamai与超过40个国家的130多家服务提供商合作,每天解析1.7万亿次查询。本次样本代表了由世界各地消费者和企业产生的全球DNS总流量的大约3%。