自2020年3月9日到2020年4月26日七週期間,威脅情報團隊Unit 42分析了120萬個包含新冠肺炎大流行相關字眼的新註冊域名。當中逾86,600個屬「危險」或「惡意」域名,遍佈全球。
美國的惡意新域名數量最多(29,007),其次是意大利(2,877)、德國(2,564)和俄羅斯(2,456)。香港和中國內地合共有931個相關惡意新域名。
Unit 42研究人員亦發現,超過56,200個新註冊域名設置於四個雲端服務,包括Amazon Web Services(70.1%)、Google Cloud Platform(24.6%)、Microsoft Azure(5.3%)及阿里雲(<0.1%)。
一些惡意域名有多個IP地址,而某些IP地址與多個域名有關聯。由於使用了內容傳遞網路(content delivery network),這種多對多對應通常在雲端環境發生,並會使基於IP的防火牆失效。
是次研究的部份重要發現如下:
- 每天平均有1,767個與新冠肺炎相關的域名建立。
- 86,600多個域名中,2,829個設置於公有雲的域名屬危險或惡意
○ 79.2% 設於AWS
○ 14.6% 設於GCP
○ 5.9% 設於Azure
○ 0.3% 設於阿里雲
- 不法之徒一直掩飾惡意活動,例如進行網絡釣魚及在雲端發放惡意軟件。
- 更高的價格和更嚴格的篩選/監控程序有助降低攻擊者在公共雲設置惡意域名的意欲。
惡意攻擊者利用雲端資源避開檢測和擴大攻擊規模,令來自雲端的威脅可能更難防禦。機構需要具備雲端原生的安全平台及更進階的應用程式感知防火牆,來確保企業環境安全。
Palo Alto Networks將持續監察新註冊的惡意域名。Prisma Cloud和VM-Series都在雲端環境中提供了第七層防火牆功能,以防止來自這些域名的惡意行為。
圖1. 七週內有86,600多個COVID-19相關的惡意域名註冊
如欲了解是次研究的更多詳情,請瀏覽此網誌全文。