Unit 42的研究人员发现,超过56,200个新注册域名由四大云服务提供商(CSP)托管,包括亚马逊云(70.1%)、谷歌云(24.6%)、微软云(5.3%)及阿里云(<0.1%)。
在研究过程中,我们注意到一些恶意域名有多个IP地址,而某些IP地址与多个域名有关联。内容交付网络(CDN)的使用让这种多对多映射经常出现在云环境中,并且会使基于IP的防火墙失效。此次研究的一些重要发现包括:
平均每天有1,767个与COVID-19相关的恶意域名创建。
86,600多个域名中,2,829个公有云中托管的域名属于危险或恶意域名
- 亚马逊云托管79.2%
- 谷歌云托管14.6%
- 微软云托管5.9%
- 阿里云托管0.3%
不法之徒一直掩盖恶意活动,例如进行网络钓鱼以及在云端传递恶意软件。
更高的价格和更严格的筛选/监控流程可减少攻击者在公有云中托管恶意域名的现象。
恶意攻击者利用云资源来逃避检测并扩大攻击规模,令来自云端的威胁更难防御。企业需要具备云原生安全平台和更高级的应用感知防火墙,以保护其环境。Palo Alto Networks(派拓网络)将持续监控新注册的恶意域名。Prisma Cloud和VM系列都在云环境中提供了第7层防火墙功能,以防止来自这些域名的恶意活动。
图1. 七周内与COVID-19相关的恶意域名注册量超过8.66万个
结论
网络威胁正在迅速演变,并利用现实事件欺骗受害者。随着COVID-19疫情导致云应用的激增,我们观察到不仅有针对云用户的攻击,还有来自云端的威胁。每天都有成千上万的恶意域名上线,而云托管的应用和服务与非云端点面临相同的威胁,因此必须通过持续监控和自动威胁防护工具来保护每个端点。多云工作环境让这个问题变得更加复杂。由于云管理的复杂性,用户错误配置导致的安全事故频发。云原生安全平台(CNSP)可帮助企业跨多个云提供商、工作负载和混合云环境进行监控并保护资源。
Palo Alto Networks(派拓网络)客户可通过以下产品免受这些威胁侵害:
- Prisma Cloud
- VM系列
- Palo Alto Networks(派拓网络)URL过滤
有关本次研究的更多细节,请点击此处浏览英文全文。
关于Palo Alto Networks(派拓网络)
作为全球网络安全领导企业,Palo Alto Networks(派拓网络)正借助其先进技术重塑着以云为中心的未来社会,改变着人类和组织运作的方式。我们的使命是成为首选网络安全伙伴,保护人们的数字生活方式。借助我们在人工智能、分析、自动化与编排方面的持续性创新和突破,助力广大客户应对全球最为严重的安全挑战。通过交付集成化平台和推动合作伙伴生态系统的不断成长,我们始终站在安全前沿,在云、网络以及移动设备方面为数以万计的组织保驾护航。我们的愿景是构建一个日益安全的世界。更多内容,敬请登录Palo Alto Networks(派拓网络)官网www.paloaltonetworks.com或中文网站www.paloaltonetworks.cn。
关于 Unit 42
Unit 42 是 Palo Alto Networks 旗下的全球威胁情报团队,是网络威胁防御领域公认的权威,全球多家企业及政府机构经常向他们寻求帮助。我们的分析师是寻找和收集未知威胁以及使用代码分析进行完全逆向工程解析恶意软件的专家。凭借这些专业知识,我们提供优质、深入的研究,以深入了解威胁执行者用来入侵组织的各种工具、技术和程序。我们的目标是尽可能提供背景信息,解释攻击的具体细节、攻击的执行者及其原因,以便世界各地的安全人员可以洞悉威胁,从而更好地防御攻击。
