正是由于不法分子经常利用这些话题来进行恶意活动,unit 42的研究人员密切监测了派拓网络客户对热门话题及与这些话题相关的新注册域名的关注度,以保护用户安全。
通过使用谷歌趋势工具和我们的流量日志发现,用户对新冠病毒相关话题的关注度爆增,且在2020年1月底、2月底和3月中旬达到高峰。
同时,随着用户关注度的上升,从2月到3月,与新冠病毒相关的域名注册量日均增长656%。在此期间,恶意注册域名增长569%,包括恶意软件和网络钓鱼;“高风险”域名注册增长788%,包括欺诈、非法加密货币挖掘,以及与恶意网址有所关联或涉嫌使用防弹主机托管的域名。
截至3月底,我们已发现116,357个与新冠病毒相关的新注册域名,其中包括2,022个恶意域名和40,261个“高风险”域名。
我们根据域名的whois信息、dns记录和屏幕截图(由我们的自动抓取工具收集)对这些域名进行聚类分析,以检测注册活动。我们发现,许多域名被恶意注册并转售牟利,且其中很大一部分被用于众所周知的恶意活动,并用于欺诈店铺销售短缺商品。
其他恶意滥用新冠病毒热点的传统方式还包括:域名托管恶意软件、钓鱼网站、欺诈网站、恶意广告、加密货币挖矿,以及用于提升不法网站搜索排名的黑帽搜索引擎优化(seo)。我们检测到,许多使用新注册域名的网店不仅试图欺骗用户,其中还出现了一个尤为卑鄙的域名集群,它利用用户对新冠病毒的恐惧来进一步恐吓他们购买其产品。此外,我们还发现了一组以新冠病毒为主题的域名,它们现在使用高风险javascript提供托管网页服务,而这些javascript可能随时会将用户重定向到恶意内容。
结论
不幸的是,总是会有网络犯罪分子在人们的恐惧加剧时,在地区、国家和全球事件中试图伤害人们。当灾难性事件发生时,我们一次次地观察到这种行为,网络犯罪分子开始围困受害者。遗憾的是,我们认为这种剥削性行为不会很快消失。
人们应该高度怀疑任何带有covid-19主题的电子邮件或新注册的网站,无论他们声称拥有信息、测试工具还是治疗方法。应该特别注意检查域名的合法性和安全性,例如确保域名是合法域名(google [.] com与g00gle [.] com),并且在浏览器的地址栏左侧有一个“锁”的图标,确保有效的https连接。
对于任何以covid-19为主题的电子邮件,都应采取类似的措施—查看发件人的电子邮件地址通常会发现该内容可能不合法,因为收件人可能不知道其内容,拼写错误或长度可疑且带有随机出现的字符。
为了保护用户免受网络罪犯分子的侵害,palo alto network(派拓网络)关于url过滤的最佳建议是禁止访问“新注册域名”类别。然而,如果您不能阻止对“新注册域名”类别的访问,则我们的建议是对这些网址强制实施ssl解密以提高其可视性,阻止用户下载诸如powershell和可执行文件之类的危险文件类型,应用更严格的威胁防护策略,并在访问新注册域名时增加日志记录。我们还建议使用dns层保护,因为我们知道超过80%的恶意软件都使用dns建立c2。
关于全文版中特别提到的威胁和入侵指标(ioc),在palo alto networks(派拓网络)技术栈内已采取了以下步骤来确保达到最佳的检测和预防机制:
· 已对域名、ip地址和网址进行了适当分类。
· 已更新和/或验证了所有样本的wildfire判定。
· 已创建、更新和/或验证了入侵防御系统签名。
· 已部署、更新和/或验证了cortex xdr检测。
· 已创建、更新和/或验证了autofocus标签。
由于冠状病毒爆发的突然性,许多员工正在自我隔离并在家办公。尽管企业一直通过vpn连接为员工提供安全访问,但是需要安全访问的员工数量却是前所未有的,并且需要额外的资源和容量。
palo alto networks(派拓网络)的云端安全访问服务边缘(sase)平台prisma access,可为远程办公室和移动用户提供统一的策略实施和安全性,并将随着业务需求的发展而调整规模。