Akamai 發布「網際網路現狀──安全報告:電信業者洞察報告」

作者 | 發布日期 2018 年 04 月 23 日 11:35 | 分類 市場動態 , 網路 , 資訊安全 line share follow us in feedly line share
Akamai 發布「網際網路現狀──安全報告:電信業者洞察報告」


雲端遞送平台 Akamai Technologies, Inc. 發布的 2018 年春季「網際網路現狀──安全報告:電信業者洞察報告」顯示,資訊分享是防禦網路威脅的重要因素。該報告分析 2017 年 9 月至 2018 年 2 月期間,Akamai 從全球各地通訊服務供應商(Communications Service Provider,CSP)網路所收集超過 14 兆筆的 DNS 查詢(queries)資料。

逾 19 年來,Nominum(由 Akamai 在 2017 年收購)運用深入的 DNS 資料來提升整體防護,對抗 DDoS(分散式阻斷服務)、勒索軟體、木馬與殭屍網路等進階型網路攻擊。Akamai 電信業者洞查報告(Carrier Insight Report)以 Nominum 的專業為基礎,顯示利用來自其他安全層資料所強化的 DNS 安全成效。此種多層安全方法需要彙整各種安全解決方案來共同防護企業資料。

Akamai 威脅情報部門資料科學總監 Yuriy Yuzifovich 表示:「若僅是片段理解個別系統所遭受的攻擊,並不足以讓防衛者能夠面對現今複雜威脅形勢。與各種平台的溝通是取得跨團隊、系統和資料集知識的關鍵。我們認為 Akamai 的服務所提供的 DNS 查詢能做為策略要素,讓資安團隊具備掌握整體威脅形勢所需的合適資料。」

抵禦 Mirai 殭屍網路威脅:行動合作

Akamai 內部團隊的合作在發現 Mirai 指揮與控制(Command and Control,C&C )網域上扮演關鍵角色,讓未來針對 Mirai 的偵測更加完整。Akamai 安全情報反應團隊(Security Intelligence Response Team,SIRT)自 Mirai 出現以來便持續追蹤,以誘捕系統偵測 Mirai 的通訊,並辨識其 C&C 伺服器。

於 2018 年 1 月下旬,Akamai 安全情報反應團隊和 Nominum 團隊分享超過 500 筆可疑 Mirai C&C 網域清單記錄,旨在瞭解使用 DNS 資料及人工智慧是否能再擴增此清單,並且讓未來針對 Mirai 的偵測更加完整。透過多層分析,Akamai 聯合團隊成功擴增Mirai C&C 資料集,並發現 Mirai 殭屍網路和 Petya 勒索軟體散布者間的連結。

該合作分析報告指出 IoT 殭屍網路的演化,包含從幾乎完全獨立發動的  DDoS 攻擊使用案例,到散布勒索軟體和加密貨幣挖礦等更複雜的行動。對於多數使用者而言,因為入侵的指標很少,所以 IoT 殭屍網路相當難偵測,然而在這些團隊的合作研究下,創造機會發現並封鎖數十個新 C&C 網域,藉以控制殭屍網路的活動。

Javascript 加密貨幣挖礦程式:暗中運作的商業模式

大眾的加密貨幣採用率大幅成長,因此加密貨幣挖礦惡意軟體的種類以及受感染的裝置數量,亦同樣呈現倍數增長。

Akamai 觀察到兩種不同的大規模加密貨幣挖礦商業模式。第一種模式利用受感染裝置的處理能力,來挖取加密貨幣代幣。第二種模式採用嵌入內容網站的程式碼,使造訪該網站的裝置能為加密貨幣挖礦程式所利用。因為其對網站使用者和擁有者產生新的安全挑戰,Akamai 針對第二種商業模式進行詳盡分析。分析加密貨幣挖礦程式網域後,Akamai 淤能夠判斷此活動造成在電腦處理能力與金錢方面的損失。此研究還延伸出一個有趣的面向,除廣告收入外,研究顯示加密貨幣挖礦能夠成為網站獲取資金的有效替代選項。

快速變化的威脅:惡意軟體和攻擊的再改造

網路資安並非靜止不變的產業。研究人員觀察到駭客將舊的技巧重新使用於現今的數位環境。在 Akamai 收集資料的 6 個月期間,幾起顯著的惡意軟體活動和攻擊顯示在執行程序上有明顯以下的變化:

在 2017 年 11 月 24 日至 12 月 14 日期間,網路代理自動發現(Web Proxy Auto-Discovery,WPAD) 通訊協定被發現用來將 Windows 系統曝露於中間人(Man-in-the Middle)攻擊。WPAD 用於受保護的網路(例如區域網路,LAN),讓電腦在暴露於網際網路時,對重大的攻擊呈現開放狀態。

惡意軟體的作者除收集金融資訊之外,也朝向社群媒體登入資料的方向擴展。Zeus 殭屍網路的分支之一 Terdot,建立本地代理程式並讓攻擊者執行網路間諜(cyber-espionage)行動並向受害者的電腦推廣假新聞。

Lopai 殭屍網路則是殭屍網路作者如何建立更具彈性的攻擊工具的例子。此種行動惡意軟體主要以 Android 裝置為目標,並採用模組化設計,讓擁有者建立能夠提供新功能的更新。

如需下載2018 年春季「網際網路現狀—安全報告:電信業者洞察報告」,請至此處下載。

研究方法

Akamai Security Research 分析每日、每周和每季的資料集來預測網路犯罪者的未來行動。旨在從大量的 DNS 資料中偵測攻擊訊號並確認已知的攻擊類型,同時偵測新型、未知及未命名的惡意活動。除了使用商業及公共資料,團隊每天分析來自 Akamai 客戶超過 1,000 億筆查詢。Akamai 與超過 40 個國家或地區逾 130 家服務供應商合作,每天解決 1.7 兆筆查詢。這些樣本約為 3% 的全球消費者及企業產生的 DNS 總流量。

(首圖來源:pixabay