业务保障技术领导厂商Blue Coat公司安全实验室近期发布了最新报告《“一日游”主机:恶意软件如何在短命网站中隐藏自己》,其中详细说明了这些“短命”网站的本质和活动,帮助我们更好地了解那些存在时间不超过24小时的网站对安全的潜在影响。潮起潮落,花开花谢,如今的互联网世界网站也是起伏来往、变化万千。最近,Blue Coat安全实验室团队深入研究了组成Web的主机名称,其中许多主机转瞬即逝的特质确实令人惊讶。
在最近90天的流量中,Blue Coat安全实验室共统计到了超过6.6亿个主机名称。(全球每10.6个人就有一个主机名)。尽管主机数量之多值得注意,但是更引人注目的是:许多主机在90天窗口期内,只出现一天;我们将这些主机称为“一日游主机”。 71%(约4.7亿)主机稍纵即逝,以至于它们在12周的周期内只出现在一天的流量中。尽管新网站和服务上线的速度非常快,互联网具有高度分布的特征,但这一比例似乎还是有些极端——到底是怎么回事?
昙花一现的存在,让专家们不得不怀疑这些网站瞬息存在的目的。 难道这不是向拼写错误或未分配的主机名发起的无意义请求? 安全专家的思考方向或许会有偏执的一面,但正是这些偏执也给了我们暗示: 这些应当是随机产生的域名,用来控制全球数百万受感染的机器。所以,深入挖掘这些数据,Blue Coat安全实验室带给我们全新的答案。这些被戏称为“一日游”瞬息而逝的主机名称当中,绝大多数在互联网内容的分享和交付中起了重要的作用,但它们也为恶意活动提供了掩护。
如何识别大玩家
主机名可以是数字IP地址,或者文本域名(或子域名)。在一日游主机中,1.64亿使用IP地址作为其主机名称,平均每天高达180万。在普通网络流量中,在三个月周期中只出现一天的公开路由的IPv4地址空间约占5%。 纵观拥有这些IP地址的自治系统(AS),互联网服务提供商和电信公司显然占据了前十名,但是其各自比例如此之低,以至于没有一个实体能够脱颖而出。
查看这些主机的顶级域名(TLD)开始对这些行为的根源所在带来一些启发。TLD.com让其它TLD相形见绌;它比其它所有TLD加在一起还要多2.5倍。也许其它带有.net和.info后缀的TLD也占有一定比例,但显而易见的是,短暂的域名更喜欢.com这样的后缀,而不是其它后缀。进一步挖掘DNS层级会让大玩家现身。
Blue Coat安全实验室指出,“一日游”网站最大的推手包括谷歌、亚马逊和雅虎等一些重要的互联网公司。 Blue Coat还提出,“一日游”网站10大推手中有一个是最流行的色情网站。这些最频繁地使用“一日游”网站的50大父域名中,22%是恶意的。这些域名使用短命网站来推动攻击并管理僵尸网络,利用“新知与未知”的网站来入侵安全解决方案。
企业必须持续地抵御网络攻击,进一步加强安全性:一方面,安全控件必须获得自动化的实时情报,可以发现这些“一日游”网站,并分配风险级别。仅仅靠静态或缓慢的防御不足以保护用户和公司数据。 另一方面,基于政策的安全控件必须能够根据实时情报来阻止恶意攻击。
更清晰地了解敌人的动向才能真正防患于未然,Blue Coat提供超过业界最先进和尖端水平的安全技术。我们对安全技术赋予业务价值的能力提供了全新的可能性,通过五大中心,一系列全面的技术、产品、服务和能力来交付,带给您完全保护,同时帮助您意识到并开发新的机会。
报告和信息图
完整报告《一日游主机:恶意软件如何在短命网站中隐藏自己》详见: https://www.bluecoat.com/security-report-one-day-wonders
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
企业警告称:基于文档的恶意软件正在增加
根据Barracuda Networks公司研究人员的电子邮件分析发现,在过去12个月检测到的所有恶意文件中, […]
-
AI网络安全如何阻止攻击以及黑客将如何应对
随着我们的数字生活变得更加自动化、集成化和高度连接,安全风险也随之增加;2018年充斥着各种攻击和隐私丑闻,包 […]
-
CrowdStrike报告称攻击者的突破时间正在增加
根据CrowdStrike公司最新研究显示,黑客通常需要更长时间才能在受害者的环境中实现横向移动,但来自某个地 […]
-
Dragos公司Robert Lee探讨最新ICS威胁及其对回击的看法
Robert Lee认为,关键基础设施面临的网络威胁不断增加,但这并不意味着美国即将出现灾难性停电。 Drag […]