報(bào)告下載丨看見全球涌動(dòng)“暗流”，全景洞察DNS流量威脅！

網(wǎng)購下單、郵件溝通、訪問云端數(shù)據(jù)等數(shù)字化操作，均涉及DNS（Domain Name System,域名系統(tǒng)）轉(zhuǎn)換服務(wù)器物理地址的背后支持。

為更好地保護(hù)奔涌在互聯(lián)網(wǎng)場景中的DNS流量安全，我們近期發(fā)布《Akamai 2022第一季度DNS流量威脅洞察報(bào)告》，深入探討了域名惡意搶注等DNS流量本身所遭受的攻擊，并基于DNS流量分析揭示了勒索惡意病毒、網(wǎng)絡(luò)釣魚等攻擊的行業(yè)分布和發(fā)展趨勢，以及防惡意軟件解決方案在面對DNS攻擊時(shí)的脆弱性。

DNS監(jiān)測洞察

·超過10%域名訪問均關(guān)聯(lián)攻擊威脅，通信比重為網(wǎng)絡(luò)釣魚＞勒索惡意病毒＞C2*

·從可能被攻陷的設(shè)備和通信數(shù)量看，危害程度為勒索惡意病毒＞網(wǎng)絡(luò)釣魚＞C2

·和某域名的通信，如果C2的占比增大，表明大概率已經(jīng)被攻陷

·更易受釣魚攻擊的行業(yè)，集中在高科技(32%)和金融(31%)行業(yè)

*C2，即“命令和控制”，Akamai已確定與C2服務(wù)器有關(guān)的域，用于與已被惡意軟件入侵的設(shè)備通信，并控制這些設(shè)備。

全球威脅形勢概覽

自Log4Shell,Spring4Shell漏洞先后爆發(fā)以來，激起了全行業(yè)的安全行動(dòng)。本份報(bào)告中，Akamai安全研究團(tuán)隊(duì)經(jīng)過系統(tǒng)分析后，指出應(yīng)對此類大規(guī)模威脅，多方組織應(yīng)與安全服務(wù)商展開通力協(xié)作，聚合全行業(yè)之力緩解問題、修復(fù)漏洞。

安全事件方面，黑客正在突破企業(yè)防御鏈薄弱環(huán)節(jié)進(jìn)行攻擊，Lapsus$犯罪團(tuán)伙對Okta發(fā)起攻擊后導(dǎo)致2.5%客戶信息外泄；而地緣環(huán)境相關(guān)事件中，DDoS、惡意數(shù)據(jù)擦除軟件等攻擊頻繁出現(xiàn)。整體看，勒索惡意病毒、供應(yīng)鏈攻擊等威脅較為強(qiáng)勢。

預(yù)見潛在流量風(fēng)險(xiǎn)

基于Akamai遞歸DNS和DNS防火墻每天可解析7萬億次DNS查詢，我們發(fā)現(xiàn)在可能受到入侵的設(shè)備中，64%的設(shè)備受惡意軟件活動(dòng)相關(guān)威脅影響，31%的設(shè)備受網(wǎng)絡(luò)釣魚相關(guān)威脅影響，5%的設(shè)備受C2相關(guān)威脅影響。

可能受到入侵的設(shè)備類別比例

全球網(wǎng)絡(luò)釣魚攻擊中，高科技和金融服務(wù)排在第一、二位。由于這兩個(gè)行業(yè)被盜憑據(jù)，在暗網(wǎng)上較為搶手，也加劇了黑客的攻擊頻度。經(jīng)過深入剖析，Akamai發(fā)現(xiàn)此類作案手段，大多是重復(fù)使用Chalbhai和16Shop等工具包。高頻次、大規(guī)模的攻擊活動(dòng)，將會(huì)給防御方帶來巨大挑戰(zhàn)。

網(wǎng)絡(luò)釣魚濫用的品牌所屬行業(yè)

警惕加密貨幣騙局

近幾年的全球“炒幣熱”也吸引了犯罪分子的目光，相比傳統(tǒng)針對付費(fèi)渠道的攻擊，當(dāng)下加密貨幣賬戶已成為黑客更關(guān)注的攻擊目標(biāo)。過去一年間，Akamai威脅研究團(tuán)隊(duì)一直在跟蹤部分加密貨幣相關(guān)騙局，我們發(fā)現(xiàn)冒充及濫用加密機(jī)構(gòu)品牌的網(wǎng)絡(luò)釣魚詐騙增加了50%。

2021年每季度針對加密貨幣機(jī)構(gòu)的網(wǎng)絡(luò)釣魚詐騙

這種騙局的要點(diǎn)在于網(wǎng)絡(luò)釣魚攻擊發(fā)起者，成功激起受害者對“錯(cuò)失良機(jī)”的恐懼——害怕?lián)p失購買新型加密貨幣的機(jī)會(huì)。同時(shí)，攻擊者還在利用各種規(guī)避技術(shù)，增強(qiáng)釣魚攻擊的隱蔽性。Akamai預(yù)測在接下來的威脅形勢下，加密貨幣釣魚仍將是犯罪分子的重頭戲。

識(shí)別DNS域名仿冒

談及網(wǎng)絡(luò)釣魚，就不得不說到DNS域名搶注，也正是這種混淆視聽、以假亂真的冒牌域名，誘騙用戶入局。我們發(fā)現(xiàn)，目前已記錄的潛在惡意網(wǎng)站中，有超過12萬個(gè)使用了域名搶注技術(shù)；常用的技術(shù)是IDN同形異義詞仿冒，幾乎占所檢測到此類潛在惡意域名的72%。

全方位抵御威脅

通過對全球DNS流量的大規(guī)模分析，Akamai研究團(tuán)隊(duì)發(fā)現(xiàn)數(shù)種防惡意軟件解決方案，在面臨惡意軟件攻擊時(shí)，由于DNS未進(jìn)行加密措施、傳輸路徑不安全，導(dǎo)致反病毒服務(wù)的失效。例如，防惡意軟件代理，也稱為防病毒(AV)或端點(diǎn)檢測和響應(yīng)(EDR)工具，通常會(huì)與其遠(yuǎn)程服務(wù)通信，以共享有關(guān)可疑文件的信息。這些遠(yuǎn)程服務(wù)會(huì)使用其手頭的實(shí)時(shí)信息，對文件進(jìn)行分類，并指示代理執(zhí)行預(yù)先確定的操作（例如刪除或隔離可疑文件）。如果有攻擊者能夠篡改這些DNS查詢，就可以篡改經(jīng)過掃描的文件分類，而無需實(shí)際入侵執(zhí)行掃描的設(shè)備。

作為DNS領(lǐng)域的卓越安全服務(wù)商，Akamai能夠以Edge DNS服務(wù)保障客戶Web應(yīng)用程序和API的高可用性。應(yīng)對勒索惡意病毒、網(wǎng)絡(luò)釣魚等惡意攻擊，Akamai Page Integrity Manager、Account Protector等技術(shù)也將幫助現(xiàn)代企業(yè)組織構(gòu)筑起堅(jiān)實(shí)的安全防御層，清除風(fēng)險(xiǎn)威脅、專注業(yè)務(wù)運(yùn)營。