Akamai 《互聯網現況 / 安全:電信業者洞察報告》強調在面對網絡威脅時資訊分享的重要性

四月 23rd, 2018 | Categories: Latest News

包括 DNS 查詢的網絡資料多層次分析

能建立對抗 DDoS、惡意軟件和殭屍網絡攻擊的強力防護

全球最大且備受信賴的雲端遞送平台Akamai Technologies, Inc. (NASDAQ:AKAM) 今日發表2018 年春季《互聯網現況 / 安全:電信業者洞察報告》,說明資訊分享在對抗網絡威脅的防禦上是重要因素。該報告分析在 2017 年 9 月至 2018 年 2 月期間,Akamai 從世界各地通訊服務供應商 (Communications Service Provider;CSP) 網絡所收集超過 14 兆筆的 DNS查詢資料。

逾 19 年來,Nominum (由 Akamai 在 2017 年收購) 利用深入的DNS 資料來提升整體防護,對抗 DDoS (分散式阻斷服務)、勒索軟件、木馬和殭屍網絡等進階型網絡攻擊。Akamai 的電信業者洞察報告以Nominum 的專業為基礎,顯示利用來自其他安全層資料所強化的 DNS 安全成效。這種多層安全性方法需要集合各種安全解決方案來整體防護公司的資料。

Akamai 威脅情報數據科學總監YuriyYuzifovich 表示:「若只對個別系統所遭受的攻擊作單獨的理解,並不足以讓防衛者能夠面對現今複雜的威脅形勢。與各種平台的溝通是對於取得跨團隊、系統和資料集知識的關鍵。我們認為Akamai的服務所提供的 DNS 查詢能作為策略要素,
讓安全團隊具備掌握整體威脅形勢所需的適當資料。」

抵禦Mirai 殭屍網絡威脅:行動上的合作

Akamai 內部團隊的合作在發現Mirai 指揮及控制 (Command and Control;C&C) 網域上扮演關鍵角色,讓未來對Mirai 的偵測更加完整。Akamai 安全情報與應變團隊 (Security Intelligence Resonse Team;SIRT) 自Mirai 出現以來便持續追蹤,以誘捕系統偵測Mirai 的通訊,並辨識其 C&C 伺服器。

2018 年 1 月下旬,Akamai 的 SIRT 和Nominum 團隊分享了超過 500 個可疑Mirai C&C 網域的清單記錄。旨在瞭解使用 DNS 資料及人工智能是否能擴增此清單,並且讓未來對Mirai 的偵測更加完整。透過多層分析,Akamai 聯合團隊成功擴增了Mirai C&C 資料集,並發現了Mirai 殭屍網絡和 Petya 勒索軟件的散佈者之間的連結。

該合作分析指出了 IoT 殭屍網絡的演化,包括從幾乎完全獨立發動的 DDoS 攻擊使用案例,到散布勒索軟件和加密貨幣挖礦等更複雜的行動。對於多數使用者而言,由於入侵的指標很少,因此IoT 殭屍網絡很難偵測,然而這些團隊的合作研究下,創造機會發現並封鎖數十個新 C&C 網域,藉以控制殭屍網絡的活動。

Javascript加密貨幣挖礦程式:暗中運作的商業模式

大眾的加密貨幣採用率有大幅度的成長,而加密貨幣挖礦惡意軟件的種類以及受其感染的裝置數量,也呈現同樣大幅的成長。

Akamai 觀察到兩種不同的大規模加密貨幣挖礦商業模式。第一種模式利用受感染裝置的處理能力,來挖取加密貨幣代幣。第二種模式採用嵌入內容網站的程式碼,使造訪該網站的裝置為加密貨幣挖礦程式所用。因為其對網站使用者和擁有者帶來新的安全挑戰,Akamai 對第二種商業模式進行了詳盡的分析。分析加密貨幣挖礦程式網域後,Akamai 能估計出這樣的活動所造成在電腦處理能力和金錢方面的損失。而此研究延伸出一個有趣的面向,除廣告收益以外,研究顯示加密貨幣挖礦能夠為網站獲取資金的有效替代選項。

快速變化的威脅:惡意軟件和攻擊的改造

網絡安全不是個靜止不變的產業。研究人員觀察到黑客將舊的技巧重新使用於當今的數碼環境。在 Akamai 收集此資料的六個月期間,幾起顯著的惡意軟件活動和攻擊顯示出在執行程序上有明顯的變化,包括:

網絡代理自動發現 (Web Proxy Auto-Discovery;WPAD) 協定被發現在 2017 年 11 月 24 日和 12 月 14 日期間用來將 Windows 系統暴露於中間人(Man-in-the-Middle) 攻擊。WPAD用於受保護的網絡 (例如 LAN) ,並讓電腦在暴露於互聯網時,對顯著的攻擊呈開放狀態。

惡意軟件的作者除了收集金融資訊之外,也正朝向收集社交媒體登入資料的方向擴展。Zeus 殭屍網絡的分支之一Terdot ,建立本地代理程式並讓攻擊者執行網絡間諜報 (Cyber-espionage)行動且於受害者的電腦推廣假新聞。

● Lopai殭屍網絡就是殭屍網絡作者如何建立更具彈性的工具的例子。這種流動惡意軟件主要以 Android 裝置為目標,並採用模組化設計,讓擁有者建立能夠提供新功能的更新。

研究方法

Akamai Security Research 分析每天、每周和每季的資料集來預測網絡罪犯的未來行動。目標在於從大量的 DNS 資料中偵測攻擊訊號並確認已知的攻擊類型,同時偵測新型、未知及未命名的惡意活動。除了使用商業及公共資料來源,團隊每天分析來自 Akamai 客戶超過 1000 億筆查詢。Akamai 與超過 40 個國家或地區的 130 多間服務供應商合作,每天解決 1.7 兆筆查詢。這個樣本代表全球消費者及企業產生的 DNS 總流量約百分之三。

關於Akamai

Akamai 為全球最大且最受信賴的雲端遞送平台,協助客戶以更輕鬆的方式隨時隨地在任何裝置上提供最優、最安全的數碼體驗。Akamai 於 130 個國家或地區設置逾 200,000 部伺服器,以無人能及的龐大分散式平台為客戶提供優越效能與威脅防護。Akamai 的產品組合包括網站與流動效能、雲端安全、企業存取及視像遞送解決方案,全都享有卓越的客戶服務與 24 小時全年無休的監控支援。

強調在面對網絡威脅時資訊分享的重要性

Comments are closed.