2023互联网现状报告-攻击快车道-深入了解恶意DNS流量

第9卷，第1期 [互联网现状] 攻击快车道 深入了解恶意DNS流量 目录 2域名服务器——攻击流量快车道 4AkamaiDNS流量分析术语 6威胁当头：企业内无处不在的恶意流量 25家庭用户面临攻击威胁 33网络钓鱼现状概述 35结论和建议：主动出击，应对现代攻击 36方法 37致谢名单 攻击快车道：第9卷，第1期SOTI1 攻击快车道：第9卷，第1期SOTI1 域名服务器——攻击流量快车道 域名服务器(DNS)自问世之初就一直是互联网基础架构的重要组成部分。无论在家中还是公司，我们的大多数网上活动都要借助DNS的力量，这样我们才能够正确导航到万维网上的目的地。当然，攻击者往往也会选择利用这一基础架构来实施攻击，比如让攻击威胁访问命令和控制(C2)服务器来等候指令，或者让远程代码执行连接某个域名，以将恶意文件下载到设备中。由于DNS无处不在，它已成为攻击基础架构的重要组成部分。 作为一家安全公司，Akamai具有独特的优势，我们可以观察并且保护企业和家庭用户，帮助他们抵御恶意DNS流量，避免由此造成系统入侵和信息被盗。在本报告中，我们将分析以全球家庭用户和企业为攻击目标的恶意流量。通过全面分析恶意DNS流量（包括其与攻击者团体或工具的关联），企业就能获得重要信息，了解自身面对的最为普遍的威胁。因此，这些信息可以帮助安全从业者评估其防御态势，还可以执行缺口分析，从而满足用于抵御这些威胁的技术和方法的需要。如果不这样做，攻击就有可能得逞，进而造成机密数据丢失、财务损失，或是因为不合规而遭受处罚。到2025年，网络犯罪造成的损失预计会激增到每年10.5万亿美元，企业必须做好防范攻击的准备。 在分析针对企业和家庭用户的恶意DNS流量时，我们观察到了数次攻击爆发和攻击活动，例如基于Android的恶意软件FluBot在世界各个国家或地区之间传播，以及各类以企业为目标的网络犯罪团伙的猖獗活动。或许最好的例子莫过于与初始访问代理(IAB)相关的C2流量泛滥，这些流量旨在入侵企业网络，让攻击者将获得的访问权限卖给其他方（例如勒索软件即服务(RaaS)团伙）来谋利。我们在DNS这条信息快车道上观察到了这些活动，并特此分享给大家，希望能给读者带来些许收获。 攻击快车道：第9卷，第1期SOTI2 概要 根据我们的数据，在任意给定季度，都有10%到16%的企业的网络中出现过C2流量。C2流量的出现表明网络有可能正在遭遇攻击，或者发生了入侵，而威胁可能包括信息窃取僵尸网络、IAB等众多形式。 26%的受影响设备曾连接过已知的IABC2域，包括与Emotet和Qakbot相关的IABC2域。IAB的主要任务就是执行初始入侵，并将访问凭据销售给勒索软件团伙和其他网络犯罪团伙，因此会给企业造成重大风险。 网络连接存储(NAS)设备正中攻击者的下怀，因为这些设备不太可能安装修补程序，而且存有大量高价值的数据。我们的数据表明，攻击者在通过QSnatch滥用这些设备，企业网络中有36%的受影响设备在访问与此类威胁有关的C2域。 30%的受影响企业属于制造业；这一数字是排名第二位的垂直领域的两倍，突显出网络攻击对现实世界产生的影响，例如供应链问题和对日常生活造成的破坏等等。《网络与信息安全指令2》(NIS2)等法规有助于遏制针对基础行业或制造业等重要行业的攻击。 针对家庭网络发起的攻击不仅会尝试滥用计算机等传统设备，还企图滥用手机和物联网(IoT)。大量的攻击流量可能与移动端恶意软件和IoT僵尸网络相关。 通过DNS数据分析，我们发现FluBot恶意软件在欧洲、中东和非洲(EMEA)、拉丁美洲(LATAM)以及亚太地区和日本(APJ)迅速爆发。促使感染量增加的部分因素可能是这种恶意软件采用了社会工程策略，并使用了多种欧盟(EU)语言。 攻击快车道：第9卷，第1期SOTI3 攻击快车道：第9卷，第1期SOTI3 攻击快车道：第9卷，第1期SOTI4 攻击快车道：第9卷，第1期 SOTI 4 AkamaiDNS流量分析术语 AkamaiEdgeDNS和DNS基础架构每天会观察多达7万亿个DNS请求。为保护Akamai用户和企业，Akamai会观察请求是否指向会传输恶意软件的域或可能窃取信息的网站，并阻止相应请求。通过检查这些恶意DNS事务，我们可以将这些域分为三类——恶意软件、钓鱼网站和C2，并开展深入研究，确定当今企业和家庭用户面临的重大威胁。 根据对恶意DNS流量的谨慎数据抽样，我们可以就最为普遍的威胁得出重要结论。我们的措施为两类群体提供保护：其中一个群体是企业，Akamai为企业网络提供保护；另一个群体是在个人网络上访问互联网的家庭用户，他们面临着多种威胁，比如旨在接管其设备以达到恶意目的（如通过加密货币挖矿来谋利）的僵尸网络。 SOTI 5 首先，我们给出钓鱼网站、恶意软件和C2这些术语的定义，并说明本报告中如何使用这些术语。 钓鱼网站是指与网络钓鱼工具包关联的域名，它们会效仿和“克隆”零售企业、银行、高科技公司和其他公司网站的外观与体验，诱骗用户泄露凭据和个人身份信息(PII)等重要数据。Akamai通过DNS观察这些流量，保护企业和家庭用户免遭身份被盗、信息丢失的烦恼。 恶意软件是指传输或植入恶意文件的恶意域（可能是多个域）。此类别还包括：托管恶意JavaScript的网站，已被入侵并且投放垃圾广告的网站，或者将用户重定向到含有此类广告的网页的网站。许多现代攻击都需要从外部来源将恶意文件下载到设备上，以此作为初始攻击载荷；或者下载恶意内容，以支持持续攻击的下一阶段。观测和阻止此类流量有助于保护企业，避免初始感染或持续攻击。 在我们的DNS流量分析中，C2是指用来与受感染的设备通信的域，它会发送命令，随后控制设备。在初始入侵后，攻击者在受感染的系统与攻击者控制的服务器之间建立C2通信，以发送额外的命令，比如下载和传播其他恶意软件、数据泄露、关闭和重启系统等，从而给系统或网络安全造成进一步破坏。C2流量预示着有持续攻击，但这些攻击仍有可能被抵御，因此检测C2流量至关重要。此外，阻止与C2服务器相关的域可以防止建立C2通信，进而阻止恶意软件下载更多指令或命令，减少攻击者在您的网络中实施恶意活动的机会。 攻击快车道：第9卷，第1期 威胁当头：企业内无处不在的恶意流量 根据Akamai的DNS流量分析，我们可以看到，2022年第四季度，13%的设备至少有一次尝试连接与恶意软件有关的域（图1）。此外，6%的设备与涉及到网络钓鱼的域进行了通信。对于本报告中重点关注的C2领域，我们观察到其全年呈增长趋势，第四季度有极小幅度的下降。 受影响设备的百分比 2022年1月1日至2022年12月31日 15% 13.14% 12.30% 10.60% 9.30% 6.20% 6.30% 6.02% 4.60% 0.70% 0.80% 0.98% 0.94% 10% C2 恶意软件 网络钓鱼 5% 0% 第1季度 第2季度 第3季度第4季度 图1：我们观察到，受保护的设备尝试连接恶意目的地的行为呈上升趋势 请注意，图1仅涉及到尝试与恶意域通信的单个设备。有必要指出，尝试连接恶意软件目的地（攻击者可能借此下载恶意软件）的设备，与尝试连接C2域的设备（通常在持续攻击中用于促进攻击者与恶意软件之间的通信，还可用于下载额外的恶意软件以推进攻击周期）之间存在差异。这种差异可代表以下三者间的不同之处：网络渗透尝试(可能在初次尝试将恶意软件下载到设备时即被阻止)、成功渗透(根据我们的数据，这表示可能未经过DNS)或正在进行的攻击(可能联机C2域以执行攻击)。 本报告主要关注C2流量，将此视为攻击者已成功侵入设备的一个潜在指标。为便于了解这种攻击的普遍性，我们需要通过另一种不同的视角来观察数据。我们不考虑个别设备，而是将数据按企业汇总起来，检查持续攻击（通过C2流量的存在确定）在数据集中出现的频率。 受C2影响的公司的百分比 2022年1月1日至2022年12月31日 15% 10% 5% 0% 第1季度 第2季度 第3季度 第4季度 图2：通过分析恶意C2流量，我们得出了全年至少有一台设备尝试连接C2域的企业百分比 根据我们的DNS数据，在任意给定季度，都有10%–16%的企业至少观察到一次C2流量从其网络中发出的情况。 根据我们的DNS数据，在任意给定季度，都有10%–16%的企业至少观察到一次C2流量从其网络中发出的情况（图2）。这可能表明恶意软件尝试与运营者沟通，是潜在的入侵迹象。我们的解决方案阻止了这些C2流量到达目的地，但攻击一旦得逞，就可能会导致数据泄露、勒索软件攻击及其他威胁。截至2022年上半年，共检测到23亿个恶意软件变种，平均每天1,501个。我们的研究强调了利用DNS防止恶意软件在网络中取得进展或造成危害的有效性。 初始访问代理对企业构成了普遍的威胁 多阶段攻击已成为现代攻击领域中的一种主力方法（图3）。攻击者发现，如果能协同工作（或彼此雇用）或在一次攻击中结合使用各种工具，就能提高攻击的成功率。对于这些攻击的成败，C2发挥着至关重要的作用。它们不仅可用于通信，也让攻击者能方便地下载攻击载荷，以及用于推进攻击下一阶段的恶意软件。过去几年中观察到的Emotet/TrickBot/Ryuk勒索软件攻击链就是最好的例证。Emotet首先渗透到受害者的网络中，在获得初始访问权限后，它会联系一个域，下载TrickBot的攻击载荷，以获取个人数据和凭据等。如果根据攻击者的标准，受害者属于高价值目标，恶意软件会联系其C2服务器并下载最终的攻击载荷：Ryuk勒索软件。 攻击者 DNS多阶段攻击的作用 在多阶段攻击中，攻击者使用一系列工具（包括合法和恶意工具）来推动攻击。C2域在攻击的不同阶段发挥着关键作用，用于发送命令、下载攻击载荷，并指挥对受害者网络进行的攻击。 DNS 从攻击者的域下载用于第二阶段的攻击负载 回调C2域以检查新命令 与攻击者控制的域进行 C2通信 将攻击载荷下载到其他设备 初始访问权限 武器化的文档或后漏洞利用攻击载荷将下载下一阶段的恶意软件 建立持久性C2 恶意软件可在目标设备上保入侵之后，攻击者亲自动持休眠状态，等待被攻击者手，主动从C2域向其恶意激活软件发送命令 横向移动 在攻击者获得网络中其他设备的升级访问权限后，他们可能会利用一个域，将恶意软件下载到网络中的其他设备上 图3：C2在攻击各阶段的作用 在评估本报告的信息时，请务必考虑这种事件链。C2通信可能发生在攻击的不同阶段。我们近期对现代勒索软件团伙（如Conti团伙）的攻击手法开展了分析，结果表明，精明的攻击者往往会安排操作人员进行“手动操作”(handsonkeyboard)，以便快速、有效地推进攻击。观察和阻止C2流量的能力对于阻止持续攻击非常重要。 我们观察到的C2域可以分为两大类：一类归属于特定威胁系列或攻击者团伙的域，另一类无此归属。在本节中，我们将深入研究与威胁类型相关的C2域，帮助读者根据各攻击者团伙的能力和所用方法来评估风险水平。请注意，部分此类恶意软件系列可能适合多种应用场景，具体取决于攻击者在攻击中使用它们的手法。 按威胁类别分列的设备百分比 2022年1月1日至2022年12月31日 40% 30% 20% 10% 僵尸网络 初始访问代理(IAB) 信息窃取程序 勒索软件 远程访问木马(RAT) 其他 0% 图4：攻击目标为企业的僵尸网络比例最高，其次是IAB和信息窃取工具 图4将攻击者团伙划分成IAB、僵尸网络和RaaS几个分组。我们的数据表明，IAB是企业网络面临的一项重大威胁，以数据泄露为目标的僵尸网络同样如此。 初始访问代理 IAB的关注重点是为其他网络犯罪分子（包括勒索软件分组）提供初始入口点，让后者能在企业网络中获得立足点。持久性、入侵后远程执行攻击载荷（勒索软件采用的就是这种方法）以及数据泄露。 “勒索软件即服务”分组