This post is also available in: 简体中文 (簡體中文)
隨著新型冠狀病毒蔓延全球,疫情相關的話題備受關注。Palo Alto Networks威脅情報團隊Unit 42的研究人員發現,自2月初以來,與新冠肺炎相關的Google搜索量和URL瀏覽量大幅增加。網絡犯罪分子也正是利用這些熱門話題為誘餌牟利,在疫情當前的危難時刻,令數十億人的生活雪上加霜。
由於不法分子經常利用熱門話題作惡,Unit 42的研究人員密切監測網絡用戶對這些熱話及其相關新註冊域名的關注程度,以保障客戶安全。
透過使用Google搜尋趨勢和我們的流量日誌,我們發現用戶對新冠肺炎相關話題的關注度暴增,並在2020年1月底、2月底及3月中旬達到高峰。
隨著用戶關注度上升,從2月到3月,與新冠肺炎相關的域名註冊量日均增長656%。同一時期,惡意的域名註冊增加569%,涉及惡意軟件和網絡釣魚;「高風險」的域名註冊增加788%,包括欺詐、非法開採加密貨幣,以及涉嫌與惡意網址有關或使用防彈主機(Bulletproof hosting)的域名。
截至3月底,我們已發現116,357個與新冠肺炎相關的新註冊域名,當中2,022個為惡意域名,40,261個為「高風險」域名。
我們根據域名的Whois信息、DNS記錄和屏幕截圖(由我們的自動抓取工具收集)分類進行分析以檢測註冊活動,發現許多域名被惡意註冊並轉售牟利,當中一大部分被用於典型的惡意活動,或用於銷售短缺商品的詐騙網店。
其他濫用新冠肺炎疫情的典型惡意行為還包括:域名載有惡意軟件、釣魚網站、欺詐網站、惡意廣告、加密貨幣開採,以及用於提升不道德網站搜索排名的黑帽搜索引擎優化(Black Hat SEO)。我們檢測到許多使用新註冊域名的網店不僅試圖欺騙用戶,更有一類銷售手法極為不良的域名群組利用用戶對新冠肺炎的恐懼,進一步恐嚇他們購買其產品。此外,我們亦發現一組以新冠病毒為主題的域名正使用高風險的JavaScript提供網域寄放服務,而這些JavaScript可能隨時會將用戶重新定向到惡意內容。
總結
網絡犯罪分子總會在地區、國家及全球大事期間,利用大眾的恐懼落井下石。當災難發生時我們一次又一次觀察到網絡犯罪分子圍困受害者的行為。遺憾的是,這類惡行相信不會很快消除。
大眾應該加倍提防任何以COVID-19為題的電郵或新註冊網站,不論該電郵或網站聲稱擁有疫情資訊、測試工具還是治療方法。用戶亦要特別留意域名的合法性和安全性,例如確保域名是合法域名(例如: google [.] com VS g00gle [.] com),而且瀏覽器的地址欄左側有「鎖」的圖示,確保有效的HTTPS連接。
對於任何以COVID-19為題的電郵都應該採取謹慎一致的措施:查看發件人的電郵地址,因為不正當的電郵往往並非從熟識的發件人發送、地址拼寫錯誤或過份冗長,或其內容是隨機出現的字符。
為保障用戶免受網絡罪犯分子攻擊,Palo Alto Networks認為以URL過濾禁止瀏覽「新註冊域名」是最佳的做法。然而,如果不能阻止瀏覽,我們則建議對這些URL強制實施SSL解密以提高其可視性,阻止用戶下載諸如PowerShell和可執行檔案之類的危險文件類型,並使用更嚴格的威脅防護策略,在訪問新註冊域名時增加日誌記錄。我們還建議使用DNS層保護,因為超過80%的惡意軟件都使用DNS建立C2。
關於全文版中特別提到的威脅和入侵指標(IOC),在Palo Alto Networks技術棧內已採取了以下步驟來確保達到最佳的檢測和預防機制:
- 已對功能變數名稱、IP位址和網址進行了適當分類。
- 已更新和/或驗證了所有樣本的Wildfire判定。
- 已創建、更新和/或驗證了入侵防禦系統簽名。
- 已部署、更新和/或驗證了Cortex XDR檢測。
- 已創建、更新和/或驗證了Autofocus標籤。
由於疫情來得突然,許多員工正自我隔離並在家工作。儘管企業一直通過VPN連接為員工提供安全訪問,但是涉及的員工數量卻是前所未有,需要額外的資源和容量。
Palo Alto Networks的Prisma Access產品為雲端產生的安全存取服務邊緣(SASE)平台,可為遠程辦公和移動用戶提供統一的策略和保安,並能隨著業務需求調整規模。如需了解更多Palo Alto Networks如何幫助遠程員工,請按此處,並查看Nir Zuk討論如何實現業務連續性的網絡廣播。
如欲了解是次研究的更多詳情,請瀏覽此網誌全文。