包含 DNS 查詢(Queries)的多層次網路資料分析

能建立對抗 DDoS、惡意軟體和殭屍網路攻擊的強力防護

 

全球最大且備受信賴的雲端遞送平台Akamai Technologies, Inc.(NASDAQ:AKAM)發佈的2018 年春季「網際網路現狀 − 安全報告:電信業者洞察報告」顯示,資訊分享是防禦網路威脅的重要因素。該報告分析 2017 年 9 月至2018 年 2 月期間,Akamai 從全球各地通訊服務供應商(Communications Service Provider;CSP)網路所收集超過 14 兆筆的DNS 查詢(queries)資料。

 

逾 19 年來,Nominum(由 Akamai 在 2017 年收購)運用深入的 DNS 資料來提升整體防護,對抗 DDoS(分散式阻斷服務)、勒索軟體、木馬與殭屍網路等進階型網路攻擊。Akamai 電信業者洞查報告(Carrier Insight Report)以 Nominum 的專業為基礎,顯示利用來自其他安全層資料所強化的 DNS 安全成效。此種多層安全方法需要彙整各種安全解決方案來共同防護企業資料。

 

Akamai 威脅情報部門資料科學總監 Yuriy Yuzifovich 表示:「若僅是片段理解個別系統所遭受的攻擊,並不足以讓防衛者能夠面對現今複雜威脅形勢。與各種平台的溝通是取得跨團隊、系統和資料集知識的關鍵。我們認為Akamai的服務所提供的 DNS 查詢能做為策略要素,讓資安團隊具備掌握整體威脅形勢所需的合適資料。」

 

抵禦 Mirai 殭屍網路威脅:行動合作

Akamai 內部團隊的合作在發現 Mirai 指揮與控制(Command and Control;C&C )網域上扮演關鍵角色,讓未來針對 Mirai 的偵測更加完整。Akamai安全情報反應團隊(Security Intelligence Response Team;SIRT)自 Mirai 出現以來便持續追蹤,以誘捕系統偵測 Mirai 的通訊,並辨識其C&C伺服器。

 

於 2018 年 1 月下旬,Akamai安全情報反應團隊和 Nominum 團隊分享超過 500 筆可疑 Mirai C&C 網域清單記錄,旨在瞭解使用 DNS 資料及人工智慧是否能再擴增此清單,並且讓未來針對 Mirai 的偵測更加完整。透過多層分析,Akamai 聯合團隊成功擴增Mirai C&C 資料集,並發現Mirai 殭屍網路和 Petya 勒索軟體散布者間的連結。

該合作分析報告指出 IoT 殭屍網路的演化,包含從幾乎完全獨立發動的DDoS 攻擊使用案例,到散布勒索軟體和加密貨幣挖礦等更複雜的行動。對於多數使用者而言,因為入侵的指標很少,所以IoT 殭屍網路相當難偵測,然而在這些團隊的合作研究下,創造機會發現並封鎖數十個新 C&C 網域,藉以控制殭屍網路的活動。

 

Javascript 加密貨幣挖礦程式:暗中運作的商業模式

大眾的加密貨幣採用率大幅成長,因此加密貨幣挖礦惡意軟體的種類以及受感染的裝置數量,亦同樣呈現倍數增長。

 

Akamai 觀察到兩種不同的大規模加密貨幣挖礦商業模式。第一種模式利用受感染裝置的處理能力,來挖取加密貨幣代幣。第二種模式採用嵌入內容網站的程式碼,使造訪該網站的裝置能為加密貨幣挖礦程式所利用。因為其對網站使用者和擁有者產生新的安全挑戰,Akamai 針對第二種商業模式進行詳盡分析。分析加密貨幣挖礦程式網域後,Akamai能夠判斷此活動造成在電腦處理能力與金錢方面的損失。此研究還延伸出一個有趣的面向,除廣告收入外,研究顯示加密貨幣挖礦能夠成為網站獲取資金的有效替代選項。

 

快速變化的威脅:惡意軟體和攻擊的再改造

網路資安並非靜止不變的產業。研究人員觀察到駭客將舊的技巧重新使用於現今的數位環境。在 Akamai 收集資料的六個月期間,幾起顯著的惡意軟體活動和攻擊顯示在執行程序上有明顯以下的變化:

 

  • 在 2017 年 11 月 24 日至 12 月 14 日期間,網路代理自動發現(Web Proxy Auto-Discovery;WPAD) 通訊協定被發現用來將 Windows 系統曝露於中間人(Man-in-the Middle)攻擊。WPAD 用於受保護的網路(例如區域網路, LAN),讓電腦在暴露於網際網路時,對重大的攻擊呈現開放狀態。
  • 惡意軟體的作者除收集金融資訊之外,也朝向社群媒體登入資料的方向擴展。Zeus 殭屍網路的分支之一 Terdot,建立本地代理程式並讓攻擊者執行網路間諜(cyber-espionage)行動並向受害者的電腦推廣假新聞。
  • Lopai 殭屍網路則是殭屍網路作者如何建立更具彈性的攻擊工具的例子。此種行動惡意軟體主要以 Android 裝置為目標,並採用模組化設計,讓擁有者建立能夠提供新功能的更新。

 

如欲進一步瞭解本報告,請於 4 月 19 日上午10點30分於RSA 大會期間造訪 Akamai 在美國舊金山北莫斯康展覽中心(Moscone Center North)N3625號攤位,Akamai 首席資安研究員 Yohai Einav 將在此講解研究過程以及詳細的研究結果。

 

如需下載2018 年春季「網際網路現狀 − 安全報告:電信業者洞察報告」,請至: akamai.com/stateoftheinternet-security

 

 

研究方法

Akamai Security Research 分析每日、每周和每季的資料集來預測網路犯罪者的未來行動。旨在從大量的 DNS 資料中偵測攻擊訊號並確認已知的攻擊類型,同時偵測新型、未知及未命名的惡意活動。除了使用商業及公共資料,團隊每天分析來自 Akamai 客戶超過 1000 億筆查詢。Akamai 與超過 40 個國家或地區逾130家服務供應商合作,每天解決 1.7 兆筆查詢。這些樣本約為百分之三的全球消費者及企業產生的 DNS 總流量。

 

關於Akamai 

Akamai 為全球最大且備受信賴的雲端遞送平台,致力協助客戶以更輕鬆的方式隨時隨地在任何裝置上提供最優質與安全的數位體驗。Akamai 於全球130 個國家或地區設置逾 200,000 部伺服器,透過無人能及的龐大分散式平台提供客戶優異的效能與威脅防護。Akamai 產品組合包含網站與行動效能、雲端安全、企業存取以及影音遞送解決方案,皆享有卓越客戶服務與 24 小時全年無休的監控支援。想瞭解為何頂尖金融機構、電子商務領導者、媒體與娛樂供應商、以及政府機構均信賴 Akamai,歡迎瀏覽: www.akamai.comblogs.akamai.com,並在 Twitter 追蹤 @Akamai。

沒有留言

撰寫留言