Akamai《互联网安全状况:运营商洞察报告》 强调信息共享对于抵御网络的重要性
针对包括DNS查询在内的网络数据分层分析可以增强防御DDoS、恶意软件和僵尸网络的能力。
【慧聪通信网】2018年4月23日——全球最大、最值得信赖的云交付平台阿卡迈技术公司(AkamaiTechnologies,Inc.,以下简称:Akamai)(NASDAQ:AKAM)今天正式发布《2018年春季互联网安全状况:运营商洞察报告》。该报告通过分析Akamai在2017年9月至2018年2月间从世界各地的通信服务提供商(CSP)网络收集到的超过14万亿次DNS查询,表明信息共享是抵御网络的一个重要助推因素。
逾19年来,Nominum(于2017年被Akamai收购)一直致力于利用深度DNS数据来增强,抵御分布式服务(DDoS)、软件、特洛伊木马和僵尸网络等复杂网络。Akamai的《运营商洞察报告》以Nominum的专长为基础,重点解析了基于DNS的安全机制的有效性(这种安全机制可借助来自其它安全防御层的数据进一步加强)。这种分层安全方法需要综合各种安全解决方案来共同企业机构的数据。
Akamai情报部门数据科学总监YuriyYuzifovich表示:“如果我们只是孤立地了解单个系统面临的,则不足以做好准备应对如今复杂的形势。因此,跨不同团队、系统和数据集了解情况,与不同的平台进行沟通变得至关重要。我们相信,我们所提供的DNS查询服务是一个战略性的组成部分,能够为安全团队提供应对整个所需的相关数据。”
Akamai内部团队之间的协作对于发现Mirai命令和控制(C&C)域起到了关键作用,使日后的Mirai检测变得更加全面。Akamai安全智能响应团队(SIRT)自Mirai出现以来就一直密切留意该恶意软件,利用蜜罐(Honeypots)检测出Mirai通信并找到其C&C服务器。
2018年1月末,Akamai安全智能响应团队和Nominum团队共享了一个包含500多个可疑MiraiC&C域的列表。此举的目的是为了了解人们是否可以利用DNS数据和人工智能来扩充这个C&C列表,使日后的Mirai检测更加全面。通过多层分析,两个团队联手成功扩充了MiraiC&C数据集,并发现了Mirai僵尸网络与Petya软件发布者之间的关联。
这次协作分析表明,IoT僵尸网络在不断演变,从几乎只是用于发动DDoS发展为从事更复杂的活动,例如恶意软件发布和加密货币挖矿。IoT僵尸网络很难检测,因为对大多数用户来说,它们的迹象极少。尽管如此,这些团队的协作研究仍证明,Akamai有机会找到并拦截数十个新出现的C&C域,从而控制僵尸网络的活动。
由于对加密货币的使用率和使用量呈指数级增长态势,加密货币挖矿恶意软件的数量以及被其感染的设备数量也在急剧上升。
Akamai观察到两种不同的大规模加密货币挖矿业务模式。第一种模式利用被感染设备的处理能力来挖掘加密货币代币(cryptocurrencytokens)。第二种模式利用嵌入到内容网站的代码来使访问网站的设备为加密货币挖矿软件工作。Akamai对第二种业务模式进行了大量分析,因为它给用户和网站所有者带来了新的安全挑战。通过对加密货币挖矿软件的域进行分析,Akamai能够估计出这项活动在计算能力和收益方面产生的成本。一个根据这项研究作出的有趣推断是,加密货币挖矿可能取代广告收入成为可行的网站筹资方案。
网络安全并不是一个静态的行业。研究人员发现,黑客会将陈旧的技术重新用于当今的数字中。在Akamai收集这些数据的6个月间,一些广为人知的恶意软件活动和在运作程序上有了明显变化,其中包括:
2017年11月24日至12月14日期间,Web代理自动发现(WPAD)协议被用于向Windows系统发起中间人(Man-in-the-Middle)。WPAD本应该用于受的网络(即LAN)上,如果于互联网中,会导致计算机容易遭受大型。
除了收集财务信息之外,恶意软件开发者还开始收集社交登录信息。Terdot是Zeus僵尸网络的一个分支,它会创建本地代理,使者可以进行网络间谍活动,还会在者的浏览器中推送虚假新闻。
僵尸网络开发者开始打造更灵活的工具,Lopai僵尸网络就是一例。这款移动恶意软件主要针对Android设备,通过采用模块化方法使所有者可以创建带有新功能的更新。