您当前的位置是:  首页 > 资讯 > 国内 >
 首页 > 资讯 > 国内 >

网络犯罪分子正在利用新冠病毒疫情发动攻击

2020-04-23 13:36:11   作者:Palo Alto Networks(派拓网络)威胁情报团队Unit 42   来源:CTI论坛   评论:0  点击:


  随着新冠病毒的全球蔓延,疫情相关话题持续受到人们的高度关注。Palo Alto Networks(派拓网络)威胁情报团队Unit 42的研究人员发现,自2月初以来,与新冠病毒相关的谷歌搜索量和网址浏览量大幅增加。网络犯罪分子也正是利用这些热门话题为诱饵来从中牟利。他们毫无道德底线,尤其是在当前疫情危难时刻,这将给数十亿人的生活雪上加霜。
  正是由于不法分子经常利用这些话题来进行恶意活动,Unit 42的研究人员密切监测了派拓网络客户对热门话题及与这些话题相关的新注册域名的关注度,以保护用户安全。
  通过使用谷歌趋势工具和我们的流量日志发现,用户对新冠病毒相关话题的关注度爆增,且在2020年1月底、2月底和3月中旬达到高峰。
  同时,随着用户关注度的上升,从2月到3月,与新冠病毒相关的域名注册量日均增长656%。在此期间,恶意注册域名增长569%,包括恶意软件和网络钓鱼;“高风险”域名注册增长788%,包括欺诈、非法加密货币挖掘,以及与恶意网址有所关联或涉嫌使用防弹主机托管的域名。
  截至3月底,我们已发现116,357个与新冠病毒相关的新注册域名,其中包括2,022个恶意域名和40,261个“高风险”域名。
  我们根据域名的Whois信息、DNS记录和屏幕截图(由我们的自动抓取工具收集)对这些域名进行聚类分析,以检测注册活动。我们发现,许多域名被恶意注册并转售牟利,且其中很大一部分被用于众所周知的恶意活动,并用于欺诈店铺销售短缺商品。
  其他恶意滥用新冠病毒热点的传统方式还包括:域名托管恶意软件、钓鱼网站、欺诈网站、恶意广告、加密货币挖矿,以及用于提升不法网站搜索排名的黑帽搜索引擎优化(SEO)。我们检测到,许多使用新注册域名的网店不仅试图欺骗用户,其中还出现了一个尤为卑鄙的域名集群,它利用用户对新冠病毒的恐惧来进一步恐吓他们购买其产品。此外,我们还发现了一组以新冠病毒为主题的域名,它们现在使用高风险JavaScript提供托管网页服务,而这些JavaScript可能随时会将用户重定向到恶意内容。
  结论
  不幸的是,总是会有网络犯罪分子在人们的恐惧加剧时,在地区、国家和全球事件中试图伤害人们。当灾难性事件发生时,我们一次次地观察到这种行为,网络犯罪分子开始围困受害者。遗憾的是,我们认为这种剥削性行为不会很快消失。
  人们应该高度怀疑任何带有COVID-19主题的电子邮件或新注册的网站,无论他们声称拥有信息、测试工具还是治疗方法。应该特别注意检查域名的合法性和安全性,例如确保域名是合法域名(google [.] com与g00gle [.] com),并且在浏览器的地址栏左侧有一个“锁”的图标,确保有效的HTTPS连接。
  对于任何以COVID-19为主题的电子邮件,都应采取类似的措施-查看发件人的电子邮件地址通常会发现该内容可能不合法,因为收件人可能不知道其内容,拼写错误或长度可疑且带有随机出现的字符。
  为了保护用户免受网络罪犯分子的侵害,Palo Alto Network(派拓网络)关于URL过滤的最佳建议是禁止访问“新注册域名”类别。然而,如果您不能阻止对“新注册域名”类别的访问,则我们的建议是对这些网址强制实施SSL解密以提高其可视性,阻止用户下载诸如PowerShell和可执行文件之类的危险文件类型,应用更严格的威胁防护策略,并在访问新注册域名时增加日志记录。我们还建议使用DNS层保护,因为我们知道超过80%的恶意软件都使用DNS建立C2。
  关于全文版中特别提到的威胁和入侵指标(IOC),在Palo Alto Networks(派拓网络)技术栈内已采取了以下步骤来确保达到最佳的检测和预防机制:
  • 已对域名、IP地址和网址进行了适当分类。
  • 已更新和/或验证了所有样本的Wildfire判定。
  • 已创建、更新和/或验证了入侵防御系统签名。
  • 已部署、更新和/或验证了Cortex XDR检测。
  • 已创建、更新和/或验证了Autofocus标签。
  由于冠状病毒爆发的突然性,许多员工正在自我隔离并在家办公。尽管企业一直通过VPN连接为员工提供安全访问,但是需要安全访问的员工数量却是前所未有的,并且需要额外的资源和容量。
  Palo Alto Networks(派拓网络)的云端安全访问服务边缘(SASE)平台Prisma Access,可为远程办公室和移动用户提供统一的策略实施和安全性,并将随着业务需求的发展而调整规模。
  要了解有关Palo Alto Networks(派拓网络)如何帮助您的远程员工的更多信息,请在此处查看我们的资源,并查看Nir Zuk的网络广播 ,了解如何实现业务连续性。
  有关此次研究的更多信息,请访问 https://unit42.paloaltonetworks.com/how-cybercriminals-prey-on-the-covid-19-pandemic/阅读全文。
  关于Palo Alto Networks(派拓网络)
  作为全球网络安全领导企业,Palo Alto Networks(派拓网络)正借助其先进技术重塑着以云为中心的未来社会,改变着人类和组织运作的方式。我们的使命是成为首选网络安全伙伴,保护人们的数字生活方式。借助我们在人工智能、分析、自动化与编排方面的持续性创新和突破,助力广大客户应对全球最为严重的安全挑战。通过交付集成化平台和推动合作伙伴生态系统的不断成长,我们始终站在安全前沿,在云、网络以及移动设备方面为数以万计的组织保驾护航。我们的愿景是构建一个日益安全的世界。
  关于 Unit 42
  Unit 42 是 Palo Alto Networks 旗下的全球威胁情报团队,是网络威胁防御领域公认的权威,全球多家企业及政府机构经常向他们寻求帮助。我们的分析师是寻找和收集未知威胁以及使用代码分析进行完全逆向工程解析恶意软件的专家。凭借这些专业知识,我们提供优质、深入的研究,以深入了解威胁执行者用来入侵组织的各种工具、技术和程序。我们的目标是尽可能提供背景信息,解释攻击的具体细节、攻击的执行者及其原因,以便世界各地的安全人员可以洞悉威胁,从而更好地防御攻击。
【免责声明】本文仅代表作者本人观点,与CTI论坛无关。CTI论坛对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。

专题

CTI论坛会员企业