互聯網現況報告 面對網絡威脅時資訊分享的重要性

時間 :12:48 取得文章短網址

文章分類 : News, Research, Security

Akamai 近日發表 2018 年春季《互聯網現況 / 安全:電信業者洞察報告》,說明資訊分享在對抗網絡威脅的防禦上是重要因素。該報告分析在 2017 年 9 月至 2018 年 2 月期間,Akamai 從世界各地通訊服務供應商 (Communications Service Provider;CSP) 網絡所收集超過 14 兆筆的 DNS查詢資料。

Akamai 威脅情報數據科學總監 YuriyYuzifovich 表示:「若只對個別系統所遭受的攻擊作單獨的理解,並不足以讓防衛者能夠面對現今複雜的威脅形勢。與各種平台的溝通是對於取得跨團隊、系統和資料集知識的關鍵。」

20180424_akamai

抵禦 Mirai 殭屍網絡威脅
Akamai 內部團隊的合作在發現 Mirai 指揮及控制 (C&C) 網域上扮演關鍵角色,讓未來對Mirai 的偵測更加完整。Akamai 安全情報與應變團隊 (Security Intelligence Resonse Team;SIRT) 自 Mirai 出現以來便持續追蹤,以誘捕系統偵測 Mirai 的通訊,並辨識其 C&C 伺服器。

2018 年 1 月下旬,Akamai 的 SIRT 和Nominum 團隊分享了超過 500 個可疑 Mirai C&C 網域的清單記錄。旨在瞭解使用 DNS 資料及人工智能是否能擴增此清單,並且讓未來對 Mirai 的偵測更加完整。透過多層分析,Akamai 聯合團隊成功擴增了Mirai C&C 資料集,並發現了 Mirai 殭屍網絡和 Petya 勒索軟件的散佈者之間的連結。

該合作分析指出了 IoT 殭屍網絡的演化,包括從幾乎完全獨立發動的 DDoS 攻擊使用案例,到散布勒索軟件和加密貨幣挖礦等更複雜的行動。對於多數使用者而言,由於入侵的指標很少,因此 IoT 殭屍網絡很難偵測,然而這些團隊的合作研究下,創造機會發現並封鎖數十個新 C&C 網域,藉以控制殭屍網絡的活動。

Javascript 加密貨幣挖礦程式:暗中運作

大眾的加密貨幣採用率有大幅度的成長,而加密貨幣挖礦惡意軟件的種類以及受其感染的裝置數量,也呈現同樣大幅的成長。

Akamai 觀察到兩種不同的大規模加密貨幣挖礦商業模式。第一種模式利用受感染裝置的處理能力,來挖取加密貨幣代幣。第二種模式採用嵌入內容網站的程式碼,使造訪該網站的裝置為加密貨幣挖礦程式所用。因為其對網站使用者和擁有者帶來新的安全挑戰,Akamai 對第二種商業模式進行了詳盡的分析。分析加密貨幣挖礦程式網域後,Akamai 能估計出這樣的活動所造成在電腦處理能力和金錢方面的損失。而此研究延伸出一個有趣的面向,除廣告收益以外,研究顯示加密貨幣挖礦能夠為網站獲取資金的有效替代選項。

惡意軟件和攻擊的改造

網絡安全不是個靜止不變的產業。研究人員觀察到黑客將舊的技巧重新使用於當今的數碼環境。在 Akamai 收集此資料的六個月期間,幾起顯著的惡意軟件活動和攻擊顯示出在執行程序上有明顯的變化,包括:

●  網絡代理自動發現 (Web Proxy Auto-Discovery;WPAD) 協定被發現在 2017 年 11 月 24 日和 12 月 14 日期間用來將 Windows 系統暴露於中間人(Man-in-the-Middle) 攻擊。WPAD用於受保護的網絡 (例如 LAN) ,並讓電腦在暴露於互聯網時,對顯著的攻擊呈開放狀態。

●  惡意軟件的作者除了收集金融資訊之外,也正朝向收集社交媒體登入資料的方向擴展。Zeus 殭屍網絡的分支之一Terdot ,建立本地代理程式並讓攻擊者執行網絡間諜報 (Cyber-espionage)行動且於受害者的電腦推廣假新聞。

● Lopai殭屍網絡就是殭屍網絡作者如何建立更具彈性的工具的例子。這種流動惡意軟件主要以 Android 裝置為目標,並採用模組化設計,讓擁有者建立能夠提供新功能的更新。

你可能會對以下文章有興趣: