自2020年3月9日到2020年4月26日的7周时间里,Palo Alto Networks(派拓网络)威胁情报团队Unit 42的研究人员分析了120万个包含与COVID-19疫情相关关键字的新注册域名(NRD)。如图1所示,超过86,600个域名属于“危险”或“恶意”域名,遍布全球各个地区。美国的恶意域名数量最多(29,007个),其次是意大利(2,877个)、德国(2,564个)和俄罗斯(2,456个)。中国内地和香港则共计有931个恶意域名。
Unit 42的研究人员发现,超过56,200个新注册域名由四大云服务提供商(CSP)托管,包括亚马逊云(70.1%)、谷歌云(24.6%)、微软云(5.3%)及阿里云(<0.1%)。
在研究过程中,我们注意到一些恶意域名有多个IP地址,而某些IP地址与多个域名有关联。内容交付网络(CDN)的使用让这种多对多映射经常出现在云环境中,并且会使基于IP的防火墙失效。此次研究的一些重要发现包括:
●平均每天有1,767个与COVID-19相关的恶意域名创建。
●86,600多个域名中,2,829个公有云中托管的域名属于危险或恶意域名
○亚马逊云托管79.2%
○谷歌云托管14.6%
○微软云托管5.9%
○阿里云托管0.3%
●不法之徒一直掩盖恶意活动,例如进行网络钓鱼以及在云端传递恶意软件。
●更高的价格和更严格的筛选/监控流程可减少攻击者在公有云中托管恶意域名的现象。
恶意攻击者利用云资源来逃避检测并扩大攻击规模,令来自云端的威胁更难防御。企业需要具备云原生安全平台和更高级的应用感知防火墙,以保护其环境。Palo Alto Networks(派拓网络)将持续监控新注册的恶意域名。Prisma Cloud和VM系列都在云环境中提供了第7层防火墙功能,以防止来自这些域名的恶意活动。
图1. 七周内与COVID-19相关的恶意域名注册量超过8.66万个
结论
网络威胁正在迅速演变,并利用现实事件欺骗受害者。随着COVID-19疫情导致云应用的激增,我们观察到不仅有针对云用户的攻击,还有来自云端的威胁。每天都有成千上万的恶意域名上线,而云托管的应用和服务与非云端点面临相同的威胁,因此必须通过持续监控和自动威胁防护工具来保护每个端点。多云工作环境让这个问题变得更加复杂。由于云管理的复杂性,用户错误配置导致的安全事故频发。云原生安全平台(CNSP)可帮助企业跨多个云提供商、工作负载和混合云环境进行监控并保护资源。
Palo Alto Networks(派拓网络)客户可通过以下产品免受这些威胁侵害:
●Prisma Cloud
●VM系列
●Palo Alto Networks(派拓网络)URL过滤