正是由于不法分子經(jīng)常利用這些話(huà)題來(lái)進(jìn)行惡意活動(dòng),Unit 42的研究人員密切監(jiān)測(cè)了派拓網(wǎng)絡(luò)客戶(hù)對(duì)熱門(mén)話(huà)題及與這些話(huà)題相關(guān)的新注冊(cè)域名的關(guān)注度,以保護(hù)用戶(hù)安全。
通過(guò)使用谷歌趨勢(shì)工具和我們的流量日志發(fā)現(xiàn),用戶(hù)對(duì)新冠病毒相關(guān)話(huà)題的關(guān)注度爆增,且在2020年1月底、2月底和3月中旬達(dá)到高峰。
同時(shí),隨著用戶(hù)關(guān)注度的上升,從2月到3月,與新冠病毒相關(guān)的域名注冊(cè)量日均增長(zhǎng)656%。在此期間,惡意注冊(cè)域名增長(zhǎng)569%,包括惡意軟件和網(wǎng)絡(luò)釣魚(yú);“高風(fēng)險(xiǎn)”域名注冊(cè)增長(zhǎng)788%,包括欺詐、非法加密貨幣挖掘,以及與惡意網(wǎng)址有所關(guān)聯(lián)或涉嫌使用防彈主機(jī)托管的域名。
截至3月底,我們已發(fā)現(xiàn)116,357個(gè)與新冠病毒相關(guān)的新注冊(cè)域名,其中包括2,022個(gè)惡意域名和40,261個(gè)“高風(fēng)險(xiǎn)”域名。
我們根據(jù)域名的Whois信息、DNS記錄和屏幕截圖(由我們的自動(dòng)抓取工具收集)對(duì)這些域名進(jìn)行聚類(lèi)分析,以檢測(cè)注冊(cè)活動(dòng)。我們發(fā)現(xiàn),許多域名被惡意注冊(cè)并轉(zhuǎn)售牟利,且其中很大一部分被用于眾所周知的惡意活動(dòng),并用于欺詐店鋪銷(xiāo)售短缺商品。
其他惡意濫用新冠病毒熱點(diǎn)的傳統(tǒng)方式還包括:域名托管惡意軟件、釣魚(yú)網(wǎng)站、欺詐網(wǎng)站、惡意廣告、加密貨幣挖礦,以及用于提升不法網(wǎng)站搜索排名的黑帽搜索引擎優(yōu)化(SEO)。我們檢測(cè)到,許多使用新注冊(cè)域名的網(wǎng)店不僅試圖欺騙用戶(hù),其中還出現(xiàn)了一個(gè)尤為卑鄙的域名集群,它利用用戶(hù)對(duì)新冠病毒的恐懼來(lái)進(jìn)一步恐嚇?biāo)麄冑?gòu)買(mǎi)其產(chǎn)品。此外,我們還發(fā)現(xiàn)了一組以新冠病毒為主題的域名,它們現(xiàn)在使用高風(fēng)險(xiǎn)JavaScript提供托管網(wǎng)頁(yè)服務(wù),而這些JavaScript可能隨時(shí)會(huì)將用戶(hù)重定向到惡意內(nèi)容。
結(jié)論
不幸的是,總是會(huì)有網(wǎng)絡(luò)犯罪分子在人們的恐懼加劇時(shí),在地區(qū)、國(guó)家和全球事件中試圖傷害人們。當(dāng)災(zāi)難性事件發(fā)生時(shí),我們一次次地觀察到這種行為,網(wǎng)絡(luò)犯罪分子開(kāi)始圍困受害者。遺憾的是,我們認(rèn)為這種剝削性行為不會(huì)很快消失。
人們應(yīng)該高度懷疑任何帶有COVID-19主題的電子郵件或新注冊(cè)的網(wǎng)站,無(wú)論他們聲稱(chēng)擁有信息、測(cè)試工具還是治療方法。應(yīng)該特別注意檢查域名的合法性和安全性,例如確保域名是合法域名(google [.] com與g00gle [.] com),并且在瀏覽器的地址欄左側(cè)有一個(gè)“鎖”的圖標(biāo),確保有效的HTTPS連接。
對(duì)于任何以COVID-19為主題的電子郵件,都應(yīng)采取類(lèi)似的措施-查看發(fā)件人的電子郵件地址通常會(huì)發(fā)現(xiàn)該內(nèi)容可能不合法,因?yàn)槭占丝赡懿恢榔鋬?nèi)容,拼寫(xiě)錯(cuò)誤或長(zhǎng)度可疑且?guī)в须S機(jī)出現(xiàn)的字符。
為了保護(hù)用戶(hù)免受網(wǎng)絡(luò)罪犯分子的侵害,Palo Alto Network(派拓網(wǎng)絡(luò))關(guān)于URL過(guò)濾的最佳建議是禁止訪問(wèn)“新注冊(cè)域名”類(lèi)別。然而,如果您不能阻止對(duì)“新注冊(cè)域名”類(lèi)別的訪問(wèn),則我們的建議是對(duì)這些網(wǎng)址強(qiáng)制實(shí)施SSL解密以提高其可視性,阻止用戶(hù)下載諸如PowerShell和可執(zhí)行文件之類(lèi)的危險(xiǎn)文件類(lèi)型,應(yīng)用更嚴(yán)格的威脅防護(hù)策略,并在訪問(wèn)新注冊(cè)域名時(shí)增加日志記錄。我們還建議使用DNS層保護(hù),因?yàn)槲覀冎莱^(guò)80%的惡意軟件都使用DNS建立C2。
關(guān)于全文版中特別提到的威脅和入侵指標(biāo)(IOC),在Palo Alto Networks(派拓網(wǎng)絡(luò))技術(shù)棧內(nèi)已采取了以下步驟來(lái)確保達(dá)到最佳的檢測(cè)和預(yù)防機(jī)制:
- 已對(duì)域名、IP地址和網(wǎng)址進(jìn)行了適當(dāng)分類(lèi)。
- 已更新和/或驗(yàn)證了所有樣本的Wildfire判定。
- 已創(chuàng)建、更新和/或驗(yàn)證了入侵防御系統(tǒng)簽名。
- 已部署、更新和/或驗(yàn)證了Cortex XDR檢測(cè)。
- 已創(chuàng)建、更新和/或驗(yàn)證了Autofocus標(biāo)簽。
由于冠狀病毒爆發(fā)的突然性,許多員工正在自我隔離并在家辦公。盡管企業(yè)一直通過(guò)VPN連接為員工提供安全訪問(wèn),但是需要安全訪問(wèn)的員工數(shù)量卻是前所未有的,并且需要額外的資源和容量。
Palo Alto Networks(派拓網(wǎng)絡(luò))的云端安全訪問(wèn)服務(wù)邊緣(SASE)平臺(tái)Prisma Access,可為遠(yuǎn)程辦公室和移動(dòng)用戶(hù)提供統(tǒng)一的策略實(shí)施和安全性,并將隨著業(yè)務(wù)需求的發(fā)展而調(diào)整規(guī)模。
要了解有關(guān)Palo Alto Networks(派拓網(wǎng)絡(luò))如何幫助您的遠(yuǎn)程員工的更多信息,請(qǐng)?jiān)诖颂幉榭次覀兊馁Y源,并查看Nir Zuk的網(wǎng)絡(luò)廣播 ,了解如何實(shí)現(xiàn)業(yè)務(wù)連續(xù)性。
有關(guān)此次研究的更多信息,請(qǐng)?jiān)L問(wèn) https://unit42.paloaltonetworks.com/how-cybercriminals-prey-on-the-covid-19-pandemic/閱讀全文。
關(guān)于Palo Alto Networks(派拓網(wǎng)絡(luò))
作為全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè),Palo Alto Networks(派拓網(wǎng)絡(luò))正借助其先進(jìn)技術(shù)重塑著以云為中心的未來(lái)社會(huì),改變著人類(lèi)和組織運(yùn)作的方式。我們的使命是成為首選網(wǎng)絡(luò)安全伙伴,保護(hù)人們的數(shù)字生活方式。借助我們?cè)谌斯ぶ悄堋⒎治觥⒆詣?dòng)化與編排方面的持續(xù)性創(chuàng)新和突破,助力廣大客戶(hù)應(yīng)對(duì)全球最為嚴(yán)重的安全挑戰(zhàn)。通過(guò)交付集成化平臺(tái)和推動(dòng)合作伙伴生態(tài)系統(tǒng)的不斷成長(zhǎng),我們始終站在安全前沿,在云、網(wǎng)絡(luò)以及移動(dòng)設(shè)備方面為數(shù)以萬(wàn)計(jì)的組織保駕護(hù)航。我們的愿景是構(gòu)建一個(gè)日益安全的世界。
關(guān)于 Unit 42
Unit 42 是 Palo Alto Networks 旗下的全球威脅情報(bào)團(tuán)隊(duì),是網(wǎng)絡(luò)威脅防御領(lǐng)域公認(rèn)的權(quán)威,全球多家企業(yè)及政府機(jī)構(gòu)經(jīng)常向他們尋求幫助。我們的分析師是尋找和收集未知威脅以及使用代碼分析進(jìn)行完全逆向工程解析惡意軟件的專(zhuān)家。憑借這些專(zhuān)業(yè)知識(shí),我們提供優(yōu)質(zhì)、深入的研究,以深入了解威脅執(zhí)行者用來(lái)入侵組織的各種工具、技術(shù)和程序。我們的目標(biāo)是盡可能提供背景信息,解釋攻擊的具體細(xì)節(jié)、攻擊的執(zhí)行者及其原因,以便世界各地的安全人員可以洞悉威脅,從而更好地防御攻擊。
