当前位置: 主页 > A生活沟 >Akamai 发布「网际网路现状──安全报告:电信业者洞察报告」 >

Akamai 发布「网际网路现状──安全报告:电信业者洞察报告」

浏览量:733
点赞:990
时间:2020-06-06
Akamai 发布「网际网路现状──安全报告:电信业者洞察报告」

云端递送平台 Akamai Technologies, Inc. 发布的 2018 年春季「网际网路现状──安全报告:电信业者洞察报告」显示,资讯分享是防御网路威胁的重要因素。该报告分析 2017 年 9 月至 2018 年 2 月期间,Akamai 从全球各地通讯服务供应商(Communications Service Provider,CSP)网路所收集超过 14 兆笔的 DNS 查询(queries)资料。

逾 19 年来,Nominum(由 Akamai 在 2017 年收购)运用深入的 DNS 资料来提升整体防护,对抗 DDoS(分散式阻断服务)、勒索软体、木马与殭尸网路等进阶型网路攻击。Akamai 电信业者洞查报告(Carrier Insight Report)以 Nominum 的专业为基础,显示利用来自其他安全层资料所强化的 DNS 安全成效。此种多层安全方法需要彙整各种安全解决方案来共同防护企业资料。

Akamai 威胁情报部门资料科学总监 Yuriy Yuzifovich 表示:「若仅是片段理解个别系统所遭受的攻击,并不足以让防卫者能够面对现今複杂威胁形势。与各种平台的沟通是取得跨团队、系统和资料集知识的关键。我们认为 Akamai 的服务所提供的 DNS 查询能做为策略要素,让资安团队具备掌握整体威胁形势所需的合适资料。」

抵御 Mirai 殭尸网路威胁:行动合作

Akamai 内部团队的合作在发现 Mirai 指挥与控制(Command and Control,C&C )网域上扮演关键角色,让未来针对 Mirai 的侦测更加完整。Akamai 安全情报反应团队(Security Intelligence Response Team,SIRT)自 Mirai 出现以来便持续追蹤,以诱捕系统侦测 Mirai 的通讯,并辨识其 C&C 伺服器。

于 2018 年 1 月下旬,Akamai 安全情报反应团队和 Nominum 团队分享超过 500 笔可疑 Mirai C&C 网域清单记录,旨在了解使用 DNS 资料及人工智慧是否能再扩增此清单,并且让未来针对 Mirai 的侦测更加完整。透过多层分析,Akamai 联合团队成功扩增Mirai C&C 资料集,并发现 Mirai 殭尸网路和 Petya 勒索软体散布者间的连结。

该合作分析报告指出 IoT 殭尸网路的演化,包含从几乎完全独立发动的  DDoS 攻击使用案例,到散布勒索软体和加密货币挖矿等更複杂的行动。对于多数使用者而言,因为入侵的指标很少,所以 IoT 殭尸网路相当难侦测,然而在这些团队的合作研究下,创造机会发现并封锁数十个新 C&C 网域,藉以控制殭尸网路的活动。

Javascript 加密货币挖矿程式:暗中运作的商业模式

大众的加密货币採用率大幅成长,因此加密货币挖矿恶意软体的种类以及受感染的装置数量,亦同样呈现倍数增长。

Akamai 观察到两种不同的大规模加密货币挖矿商业模式。第一种模式利用受感染装置的处理能力,来挖取加密货币代币。第二种模式採用嵌入内容网站的程式码,使造访该网站的装置能为加密货币挖矿程式所利用。因为其对网站使用者和拥有者产生新的安全挑战,Akamai 针对第二种商业模式进行详尽分析。分析加密货币挖矿程式网域后,Akamai 淤能够判断此活动造成在电脑处理能力与金钱方面的损失。此研究还延伸出一个有趣的面向,除广告收入外,研究显示加密货币挖矿能够成为网站获取资金的有效替代选项。

快速变化的威胁:恶意软体和攻击的再改造

网路资安并非静止不变的产业。研究人员观察到骇客将旧的技巧重新使用于现今的数位环境。在 Akamai 收集资料的 6 个月期间,几起显着的恶意软体活动和攻击显示在执行程序上有明显以下的变化:

在 2017 年 11 月 24 日至 12 月 14 日期间,网路代理自动发现(Web Proxy Auto-Discovery,WPAD) 通讯协定被发现用来将 Windows 系统曝露于中间人(Man-in-the Middle)攻击。WPAD 用于受保护的网路(例如区域网路,LAN),让电脑在暴露于网际网路时,对重大的攻击呈现开放状态。

恶意软体的作者除收集金融资讯之外,也朝向社群媒体登入资料的方向扩展。Zeus 殭尸网路的分支之一 Terdot,建立本地代理程式并让攻击者执行网路间谍(cyber-espionage)行动并向受害者的电脑推广假新闻。

Lopai 殭尸网路则是殭尸网路作者如何建立更具弹性的攻击工具的例子。此种行动恶意软体主要以 Android 装置为目标,并採用模组化设计,让拥有者建立能够提供新功能的更新。

如需下载2018 年春季「网际网路现状—安全报告:电信业者洞察报告」,请至此处下载。

研究方法

Akamai Security Research 分析每日、每周和每季的资料集来预测网路犯罪者的未来行动。旨在从大量的 DNS 资料中侦测攻击讯号并确认已知的攻击类型,同时侦测新型、未知及未命名的恶意活动。除了使用商业及公共资料,团队每天分析来自 Akamai 客户超过 1,000 亿笔查询。Akamai 与超过 40 个国家或地区逾 130 家服务供应商合作,每天解决 1.7 兆笔查询。这些样本约为 3% 的全球消费者及企业产生的 DNS 总流量。

上一篇: 下一篇: