Akamai新一期的SOTI報(bào)告《攻擊快車道:深入了解惡意DNS流量》于近日發(fā)布��。在本份報(bào)告中����,Akamai安全團(tuán)隊(duì)以全球家庭用戶和企業(yè)為安全防護(hù)研究目標(biāo),發(fā)現(xiàn)通過全面分析惡意DNS流量����,在企業(yè)層面就能獲得安全洞察,了解自身更為普遍的潛在威脅����。
Akamai新一期的SOTI報(bào)告《攻擊快車道:深入了解惡意DNS流量》于近日發(fā)布。在本份報(bào)告中����,Akamai安全團(tuán)隊(duì)以全球家庭用戶和企業(yè)為安全防護(hù)研究目標(biāo),發(fā)現(xiàn)通過全面分析惡意DNS流量��,在企業(yè)層面就能獲得安全洞察�����,了解自身更為普遍的潛在威脅�。
高度普適,C2威脅大行其道
如今��,多階段攻擊已成為黑客的主流攻擊方式����。發(fā)起組合拳的攻擊者��,會(huì)在一次攻擊中結(jié)合多種工具來提高攻擊成功率����。面對(duì)企業(yè)內(nèi)外無處不在的惡意流量�,本份SOTI報(bào)告主要聚焦C2流量,全方位地觀察與分析了C2在不同攻擊階段的作用����。
攻擊者與C2域的高頻互動(dòng)
相伴而生:C2與組合式攻擊
Akamai安全研究團(tuán)隊(duì)發(fā)現(xiàn),黑客的攻擊組合主要涵蓋勒索軟件����、遠(yuǎn)程訪問工具(RAT)和信息竊取工具��,并將攻擊組合應(yīng)用于不同的作案階段�����。比如�,黑客成功初始入侵后,將會(huì)進(jìn)一步完成深層次藏匿和發(fā)起后續(xù)攻擊�。
典型攻擊團(tuán)伙類別
·僵尸網(wǎng)絡(luò)
DDoS攻擊、數(shù)據(jù)泄露�����、惡意軟件部署、橫向移動(dòng)�、加密勒索等攻擊目的,攻擊者均可利用僵尸網(wǎng)絡(luò)加以實(shí)現(xiàn)�。
·初始訪問代理
IAB相當(dāng)于攻擊團(tuán)伙的“前排軍”,可提供初始入口點(diǎn)����,為更多網(wǎng)絡(luò)犯罪分子在企業(yè)內(nèi)網(wǎng)中,來建立“攻擊跳板”�。
·信息竊取工具
信息竊取工具是一類廣泛使用的惡意軟件即服務(wù)(MaaS)工具,用于收集不同類型的數(shù)據(jù)信息�����,如銀行憑據(jù)����、系統(tǒng)信息、密碼等�����。
·勒索軟件即服務(wù)
此類RaaS團(tuán)伙也會(huì)與其他類別的網(wǎng)絡(luò)犯罪分子(即便不具備技術(shù)知識(shí))展開合作,有償提供勒索軟件即服務(wù)�。
贏得安全防護(hù)主動(dòng)權(quán)
敵有攻勢(shì),我有對(duì)策����。面對(duì)攻擊快車道洶涌而至的惡意DNS流量,企業(yè)應(yīng)當(dāng)部署精細(xì)化的DNS管控策略��,定制相關(guān)安全預(yù)案與運(yùn)營(yíng)策略�����。在此��,Akamai為企業(yè)安全團(tuán)隊(duì)提出五大安全建議:
五大安全建議
·專業(yè)化精控DNS
利用企業(yè)內(nèi)部安全資源強(qiáng)化DNS管理����,或選擇外包至給第三方服務(wù)商�。對(duì)于大規(guī)模企業(yè),選擇專門管理DNS的安全提供商將起到事半功倍的作用��。
·圍剿“網(wǎng)絡(luò)擊殺鏈”
保障DNS的監(jiān)測(cè)后��,可重點(diǎn)關(guān)注DDoS防護(hù)����、惡意軟件�����、抓取��、橫向移動(dòng)和滲透等攻擊鏈涉及的關(guān)鍵領(lǐng)域�,全鏈路洞見安全漏洞��,阻截風(fēng)險(xiǎn)威脅����。
·驗(yàn)證安全控制有效
確保企業(yè)安全團(tuán)隊(duì)����,在實(shí)驗(yàn)狀態(tài)下使用與Qakbot和Emotet等IAB�����、QSnatch等爬蟲程序���、LockBit等勒索軟件相同的技術(shù)���,以及Cobalt Strike等工具,來演練相應(yīng)的攻擊模擬培訓(xùn)。
·判定惡意流量威脅
一旦檢測(cè)到Cobalt Strike���,應(yīng)即刻保持警惕���,創(chuàng)建事件報(bào)告并開展調(diào)查,以應(yīng)對(duì)潛在RaaS攻擊團(tuán)伙或攻擊個(gè)體入侵��,構(gòu)建起敏捷�、深度的抵御模式。
·提升安全運(yùn)營(yíng)顆粒度
確保跟蹤潛在表明IAB相關(guān)威脅位于企業(yè)網(wǎng)絡(luò)中偵查的進(jìn)程(如BITS�、Wget或cURL),及時(shí)阻止下載中的威脅���。甄別觸發(fā)IAB的原因(LNK文件����、宏或VScript)�����。
阻截惡意流量����,依靠高度安全的DNS,方能保證Web應(yīng)用程序和API始終可用��。應(yīng)用Akamai Edge DNS云安全解決方案���,將能夠支持客戶大規(guī)模托管DNS區(qū)域�,全力保障任務(wù)關(guān)鍵型DNS可用性��。同時(shí)����,企業(yè)安全團(tuán)隊(duì)也可受益于易預(yù)測(cè)、彈性可控的計(jì)費(fèi)方式����,持續(xù)提升IT投資回報(bào)率。
閩公網(wǎng)安備 35010202001226號(hào)
