2023互联网现状报告-攻击快车道-深入了解恶意DNS流量

攻击快车道 深入了解恶意DNS流量 目录 域名服务器——攻击流量快车道Akamai DNS流量分析术语威胁当头：企业内无处不在的恶意流量家庭用户面临攻击威胁网络钓鱼现状概述结论和建议：主动出击，应对现代攻击方法致谢名单2462533353637 域名服务器——攻击流量快车道 域名服务器(DNS)自问世之初就一直是互联网基础架构的重要组成部分。无论在家中还是公司，我们的大多数网上活动都要借助DNS的力量，这样我们才能够正确导航到万维网上的目的地。当然，攻击者往往也会选择利用这一基础架构来实施攻击，比如让攻击威胁访问命令和控制(C2)服务器来等候指令，或者让远程代码执行连接某个域名，以将恶意文件下载到设备中。由于DNS无处不在，它已成为攻击基础架构的重要组成部分。 作为一家安全公司，Akamai具有独特的优势，我们可以观察并且保护企业和家庭用户，帮助他们抵御恶意DNS流量，避免由此造成系统入侵和信息被盗。在本报告中，我们将分析以全球家庭用户和企业为攻击目标的恶意流量。通过全面分析恶意DNS流量（包括其与攻击者团体或工具的关联），企业就能获得重要信息，了解自身面对的最为普遍的威胁。因此，这些信息可以帮助安全从业者评估其防御态势，还可以执行缺口分析，从而满足用于抵御这些威胁的技术和方法的需要。如果不这样做，攻击就有可能得逞，进而造成机密数据丢失、财务损失，或是因为不合规而遭受处罚。到2025年，网络犯罪造成的损失预计会激增到每年10.5万亿美元，企业必须做好防范攻击的准备。 在分析针对企业和家庭用户的恶意DNS流量时，我们观察到了数次攻击爆发和攻击活动，例如基于Android的恶意软件FluBot在世界各个国家或地区之间传播，以及各类以企业为目标的网络犯罪团伙的猖獗活动。或许最好的例子莫过于与初始访问代理(IAB)相关的C2流量泛滥，这些流量旨在入侵企业网络，让攻击者将获得的访问权限卖给其他方（例如勒索软件即服务(RaaS)团伙）来谋利。我们在DNS这条信息快车道上观察到了这些活动，并特此分享给大家，希望能给读者带来些许收获。 概要 根据我们的数据，在任意给定季度，都有10%到16%的企业的网络中出现过C2流量。C2流量的出现表明网络有可能正在遭遇攻击，或者发生了入侵，而威胁可能包括信息窃取僵尸网络、IAB等众多形式。 30%的受影响企业属于制造业；这一数字是排名第二位的垂直领域的两倍，突显出网络攻击对现实世界产生的影响，例如供应链问题和对日常生活造成的破坏等等。《网络与信息安全指令2》(NIS2)等法规有助于遏制针对基础行业或制造业等重要行业的攻击。 26%的受影响设备曾连接过已知的IAB C2域，包括与Emotet和Qakbot相关的IAB C2域。IAB的主要任务就是执行初始入侵，并将访问凭据销售给勒索软件团伙和其他网络犯罪团伙，因此会给企业造成重大风险。 针对家庭网络发起的攻击不仅会尝试滥用计算机等传统设备，还企图滥用手机和物联网(IoT)。大量的攻击流量可能与移动端恶意软件和IoT僵尸网络相关。 通过DNS数据分析，我们发现FluBot恶意软件在欧洲、中东和非洲(EMEA)、拉丁美洲(LATAM)以及亚太地区和日本(APJ)迅速爆发。促使感染量增加的部分因素可能是这种恶意软件采用了社会工程策略，并使用了多种欧盟(EU)语言。 网络连接存储(NAS)设备正中攻击者的下怀，因为这些设备不太可能安装修补程序，而且存有大量高价值的数据。我们的数据表明，攻击者在通过QSnatch滥用这些设备，企业网络中有36%的受影响设备在访问与此类威胁有关的C2域。 Akamai DNS流量分析术语 AkamaiEdge DNS和DNS基础架构每天会观察多达7万亿个DNS请求。为保护Akamai用户和企业，Akamai会观察请求是否指向会传输恶意软件的域或可能窃取信息的网站，并阻止相应请求。通过检查这些恶意DNS事务，我们可以将这些域分为三类——恶意软件、钓鱼网站和C2，并开展深入研究，确定当今企业和家庭用户面临的重大威胁。 根据对恶意DNS流量的谨慎数据抽样，我们可以就最为普遍的威胁得出重要结论。我们的措施为两类群体提供保护：其中一个群体是企业，Akamai为企业网络提供保护；另一个群体是在个人网络上访问互联网的家庭用户，他们面临着多种威胁，比如旨在接管其设备以达到恶意目的（如通过加密货币挖矿来谋利）的僵尸网络。 首先，我们给出钓鱼网站、恶意软件和C2这些术语的定义，并说明本报告中如何使用这些术语。 钓鱼网站是指与网络钓鱼工具包关联的域名，它们会效仿和“克隆”零售企业、银行、高科技公司和其他公司网站的外观与体验，诱骗用户泄露凭据和个人身份信息(PII)等重要数据。Akamai通过DNS观察这些流量，保护企业和家庭用户免遭身份被盗、信息丢失的烦恼。 恶意软件是指传输或植入恶意文件的恶意域（可能是多个域）。 此类别还包括：托管恶意JavaScript的网站，已被入侵并且投放垃圾广告的网站，或者将用户重定向到含有此类广告的网页的网站。许多现代攻击都需要从外部来源将恶意文件下载到设备上，以此作为初始攻击载荷；或者下载恶意内容，以支持持续攻击的下一阶段。观测和阻止此类流量有助于保护企业，避免初始感染或持续攻击。 在我们的DNS流量分析中，C2是指用来与受感染的设备通信的域，它会发送命令，随后控制设备。在初始入侵后，攻击者在受感染的系统与攻击者控制的服务器之间建立C2通信，以发送额外的命令，比如下载和传播其他恶意软件、数据泄露、关闭和重启系统等，从而给系统或网络安全造成进一步破坏。C2流量预示着有持续攻击，但这些攻击仍有可能被抵御，因此检测C2流量至关重要。此外，阻止与C2服务器相关的域可以防止建立C2通信，进而阻止恶意软件下载更多指令或命令，减少攻击者在您的网络中实施恶意活动的机会。 威胁当头：企业内无处不在的恶意流量 根据Akamai的DNS流量分析，我们可以看到，2022年第四季度，13%的设备至少有一次尝试连接与恶意软件有关的域（图1）。此外，6%的设备与涉及到网络钓鱼的域进行了通信。对于本报告中重点关注的C2领域，我们观察到其全年呈增长趋势，第四季度有极小幅度的下降。 请注意，图1仅涉及到尝试与恶意域通信的单个设备。有必要指出，尝试连接恶意软件目的地（攻击者可能借此下载恶意软件）的设备，与尝试连接C2域的设备（通常在持续攻击中用于促进攻击者与恶意软件之间的通信，还可用于下载额外的恶意软件以推进攻击周期）之间存在差异。这种差异可代表以下三者间的不同之处：网络渗透尝试(可能在初次尝试将恶意软件下载到设备时即被阻止)、成功渗透(根据我们的数据，这表示可能未经过DNS)或正在进行的攻击(可能联机C2域以执行攻击)。 本报告主要关注C2流量，将此视为攻击者已成功侵入设备的一个潜在指标。为便于了解这种攻击的普遍性，我们需要通过另一种不同的视角来观察数据。我们不考虑个别设备，而是将数据按企业汇总起来，检查持续攻击（通过C2流量的存在确定）在数据集中出现的频率。 根据我们的DNS数据，在任意给定季度，都有10%–16%的企业至少观察到一次C2流量从其网络中发出的情况。 根据我们的DNS数据，在任意给定季度，都有10%–16%的企业至少观察到一次C2流量从其网络中发出的情况（图2）。这可能表明恶意软件尝试与运营者沟通，是潜在的入侵迹象。我们的解决方案阻止了这些C2流量到达目的地，但攻击一旦得逞，就可能会导致数据泄露、勒索软件攻击及其他威胁。截至2022年上半年，共检测到23亿个恶意软件变种，平均每天1,501个。我们的研究强调了利用DNS防止恶意软件在网络中取得进展或造成危害的有效性。 初始访问代理对企业构成了普遍的威胁 多阶段攻击已成为现代攻击领域中的一种主力方法（图3）。攻击者发现，如果能协同工作（或彼此雇用）或在一次攻击中结合使用各种工具，就能提高攻击的成功率。对于这些攻击的成败，C2发挥着至关重要的作用。它们不仅可用于通信，也让攻击者能方便地下载攻击载荷，以及用于推进攻击下一阶段的恶意软件。过去几年中观察到的Emotet/TrickBot/Ryuk勒索软件攻击链就是最好的例证。Emotet首先渗透到受害者的网络中，在获得初始访问权限后，它会联系一个域，下载TrickBot的攻击载荷，以获取个人数据和凭据等。如果根据攻击者的标准，受害者属于高价值目标，恶意软件会联系其C2服务器并下载最终的攻击载荷：Ryuk勒索软件。 在评估本报告的信息时，请务必考虑这种事件链。C2通信可能发生在攻击的不同阶段。我们近期对现代勒索软件团伙（如Conti团伙）的攻击手法开展了分析，结果表明，精明的攻击者往往会安排操作人员进行“手动操作”(hands on keyboard)，以便快速、有效地推进攻击。观察和阻止C2流量的能力对于阻止持续攻击非常重要。 我们观察到的C2域可以分为两大类：一类归属于特定威胁系列或攻击者团伙的域，另一类无此归属。在本节中，我们将深入研究与威胁类型相关的C2域，帮助读者根据各攻击者团伙的能力和所用方法来评估风险水平。请注意，部分此类恶意软件系列可能适合多种应用场景，具体取决于攻击者在攻击中使用它们的手法。 图4将攻击者团伙划分成IAB、僵尸网络和RaaS几个分组。我们的数据表明，IAB是企业网络面临的一项重大威胁，以数据泄露为目标的僵尸网络同样如此。 初始访问代理 “勒索软件即服务”分组 IAB的关注重点是为其他网络犯罪 分子（包括勒索软件分组）提供初始入口点，让后者能在企业网络中获得立足点。持久性、入侵后远程执行攻击载荷（勒索软件采用的就是这种方法）以及数据泄露。 至是不具备专业技术知识的攻击者）成为其合作者，并有偿使用他们的勒索软件。 僵尸网络 信息窃取工具 攻击者可以利用僵尸网络达到各种 目的，比如加密、DDoS攻击、数据泄露、恶意软件部署和横向移动等。 如用户名、密码、系统信息、银行凭据、Cookie等。 我们还观察到，攻击者将勒索软件、远程访问工具(RAT)和信息窃取工具纳入攻击组合，让它们各自在不同的阶段发挥关键作用。新手级攻击者和经验丰富的网络犯罪分子如今都能通过地下交易平台获得现成的工具，因此他们能够成功完成初始入侵，藏匿在网络中并推进攻击，这让企业比以往更容易受到网络犯罪的侵扰。在梳理这些分组时，我们还会分析其运作的交叉点，以及给企业造成的潜在影响和冲击。 “初始访问代理”分组 “初始访问代理”(IAB)这一特定类型的网络犯罪分子主要关注打通初始入口点，让其他网络犯罪分子和攻击者能借此在企业网络中获得立足点。多个网络犯罪分组都采用类似的入侵方法，比如利用RDP和VPN相关漏洞、使用暴力破解攻击、收集凭据转储，以及发送带有恶意软件的钓鱼邮件，但IAB擅长获得这些受感染系统的访问权限，随后将访问权限出售给其他分组的攻击者，而不会自行实施整个攻击。根据报道，LockBit、DarkSide、Conti和BlackByte等威胁背后的勒索软件团伙均在其行动中利用了IAB。2023年的一份研究报告指出，初始访问权限的平均售价约为2,800美元。 根据我们的DNS数据（图5），26%的受感染设备连接过与IAB有关联的域，如Qakbot（4%的受感染设备）和Emotet（22%的受感染设备）。在RaaS商业模式和网络犯罪领域，IAB都有着举足轻重的作用。勒索软件攻击者和网络犯罪分子需要远程访问权限和凭据，不仅需要借此渗透到受害者网络中，还需要以此实现横向移动、建立持久性、获得访问权限并执行其他活动。攻击者利用IAB来完成侦查、潜在目标扫描和初始感染等耗时的任务。在地下交易平台中唾手可得的访问权限消除了这个步骤，降低了攻击者发动攻击所需的专业技能，也缩短了发动攻击所需的时间。这种局面造成企业面临大量潜在的针对性攻击，以及由此而来的勒索软件、机密和敏感信息被盗、间谍活动和数据泄露威胁。 在我们的数据中，Emotet是极具代表性的IAB之一。E