Unit 42的研究人員發(fā)現(xiàn),超過56,200個新注冊域名由四大云服務提供商(CSP)托管,包括亞馬遜云(70.1%)、谷歌云(24.6%)、微軟云(5.3%)及阿里云(<0.1%)。
在研究過程中,我們注意到一些惡意域名有多個IP地址,而某些IP地址與多個域名有關聯(lián)。內(nèi)容交付網(wǎng)絡(CDN)的使用讓這種多對多映射經(jīng)常出現(xiàn)在云環(huán)境中,并且會使基于IP的防火墻失效。此次研究的一些重要發(fā)現(xiàn)包括:
平均每天有1,767個與COVID-19相關的惡意域名創(chuàng)建。
86,600多個域名中,2,829個公有云中托管的域名屬于危險或惡意域名
- 亞馬遜云托管79.2%
- 谷歌云托管14.6%
- 微軟云托管5.9%
- 阿里云托管0.3%
不法之徒一直掩蓋惡意活動,例如進行網(wǎng)絡釣魚以及在云端傳遞惡意軟件。
更高的價格和更嚴格的篩選/監(jiān)控流程可減少攻擊者在公有云中托管惡意域名的現(xiàn)象。
惡意攻擊者利用云資源來逃避檢測并擴大攻擊規(guī)模,令來自云端的威脅更難防御。企業(yè)需要具備云原生安全平臺和更高級的應用感知防火墻,以保護其環(huán)境。Palo Alto Networks(派拓網(wǎng)絡)將持續(xù)監(jiān)控新注冊的惡意域名。Prisma Cloud和VM系列都在云環(huán)境中提供了第7層防火墻功能,以防止來自這些域名的惡意活動。
圖1. 七周內(nèi)與COVID-19相關的惡意域名注冊量超過8.66萬個
結論
網(wǎng)絡威脅正在迅速演變,并利用現(xiàn)實事件欺騙受害者。隨著COVID-19疫情導致云應用的激增,我們觀察到不僅有針對云用戶的攻擊,還有來自云端的威脅。每天都有成千上萬的惡意域名上線,而云托管的應用和服務與非云端點面臨相同的威脅,因此必須通過持續(xù)監(jiān)控和自動威脅防護工具來保護每個端點。多云工作環(huán)境讓這個問題變得更加復雜。由于云管理的復雜性,用戶錯誤配置導致的安全事故頻發(fā)。云原生安全平臺(CNSP)可幫助企業(yè)跨多個云提供商、工作負載和混合云環(huán)境進行監(jiān)控并保護資源。
Palo Alto Networks(派拓網(wǎng)絡)客戶可通過以下產(chǎn)品免受這些威脅侵害:
- Prisma Cloud
- VM系列
- Palo Alto Networks(派拓網(wǎng)絡)URL過濾
有關本次研究的更多細節(jié),請點擊此處瀏覽英文全文。
關于Palo Alto Networks(派拓網(wǎng)絡)
作為全球網(wǎng)絡安全領導企業(yè),Palo Alto Networks(派拓網(wǎng)絡)正借助其先進技術重塑著以云為中心的未來社會,改變著人類和組織運作的方式。我們的使命是成為首選網(wǎng)絡安全伙伴,保護人們的數(shù)字生活方式。借助我們在人工智能、分析、自動化與編排方面的持續(xù)性創(chuàng)新和突破,助力廣大客戶應對全球最為嚴重的安全挑戰(zhàn)。通過交付集成化平臺和推動合作伙伴生態(tài)系統(tǒng)的不斷成長,我們始終站在安全前沿,在云、網(wǎng)絡以及移動設備方面為數(shù)以萬計的組織保駕護航。我們的愿景是構建一個日益安全的世界。更多內(nèi)容,敬請登錄Palo Alto Networks(派拓網(wǎng)絡)官網(wǎng)www.paloaltonetworks.com或中文網(wǎng)站www.paloaltonetworks.cn。
關于 Unit 42
Unit 42 是 Palo Alto Networks 旗下的全球威脅情報團隊,是網(wǎng)絡威脅防御領域公認的權威,全球多家企業(yè)及政府機構經(jīng)常向他們尋求幫助。我們的分析師是尋找和收集未知威脅以及使用代碼分析進行完全逆向工程解析惡意軟件的專家。憑借這些專業(yè)知識,我們提供優(yōu)質(zhì)、深入的研究,以深入了解威脅執(zhí)行者用來入侵組織的各種工具、技術和程序。我們的目標是盡可能提供背景信息,解釋攻擊的具體細節(jié)、攻擊的執(zhí)行者及其原因,以便世界各地的安全人員可以洞悉威脅,從而更好地防御攻擊。
