互聯(lián)網(wǎng)現(xiàn)狀報告丨探秘C2攻擊路徑，駛向云安全快車道！

Akamai新一期的SOTI報告《攻擊快車道：深入了解惡意DNS流量》于近日發(fā)布。在本份報告中，Akamai安全團隊以全球家庭用戶和企業(yè)為安全防護研究目標(biāo)，發(fā)現(xiàn)通過全面分析惡意DNS流量，在企業(yè)層面就能獲得安全洞察，了解自身更為普遍的潛在威脅。

高度普適，C2威脅大行其道

如今，多階段攻擊已成為黑客的主流攻擊方式。發(fā)起組合拳的攻擊者，會在一次攻擊中結(jié)合多種工具來提高攻擊成功率。面對企業(yè)內(nèi)外無處不在的惡意流量，本份SOTI報告主要聚焦C2流量，全方位地觀察與分析了C2在不同攻擊階段的作用。

攻擊者與C2域的高頻互動

相伴而生：C2與組合式攻擊

Akamai安全研究團隊發(fā)現(xiàn)，黑客的攻擊組合主要涵蓋勒索軟件、遠(yuǎn)程訪問工具（RAT）和信息竊取工具，并將攻擊組合應(yīng)用于不同的作案階段。比如，黑客成功初始入侵后，將會進一步完成深層次藏匿和發(fā)起后續(xù)攻擊。

典型攻擊團伙類別

·僵尸網(wǎng)絡(luò)

DDoS攻擊、數(shù)據(jù)泄露、惡意軟件部署、橫向移動、加密勒索等攻擊目的，攻擊者均可利用僵尸網(wǎng)絡(luò)加以實現(xiàn)。

·初始訪問代理

IAB相當(dāng)于攻擊團伙的“前排軍”，可提供初始入口點，為更多網(wǎng)絡(luò)犯罪分子在企業(yè)內(nèi)網(wǎng)中，來建立“攻擊跳板”。

·信息竊取工具

信息竊取工具是一類廣泛使用的惡意軟件即服務(wù)（MaaS）工具，用于收集不同類型的數(shù)據(jù)信息，如銀行憑據(jù)、系統(tǒng)信息、密碼等。

·勒索軟件即服務(wù)

此類RaaS團伙也會與其他類別的網(wǎng)絡(luò)犯罪分子（即便不具備技術(shù)知識）展開合作，有償提供勒索軟件即服務(wù)。

贏得安全防護主動權(quán)

敵有攻勢，我有對策。面對攻擊快車道洶涌而至的惡意DNS流量，企業(yè)應(yīng)當(dāng)部署精細(xì)化的DNS管控策略，定制相關(guān)安全預(yù)案與運營策略。在此，Akamai為企業(yè)安全團隊提出五大安全建議：

五大安全建議

·專業(yè)化精控DNS

利用企業(yè)內(nèi)部安全資源強化DNS管理，或選擇外包至給第三方服務(wù)商。對于大規(guī)模企業(yè)，選擇專門管理DNS的安全提供商將起到事半功倍的作用。

·圍剿“網(wǎng)絡(luò)擊殺鏈”

保障DNS的監(jiān)測后，可重點關(guān)注DDoS防護、惡意軟件、抓取、橫向移動和滲透等攻擊鏈涉及的關(guān)鍵領(lǐng)域，全鏈路洞見安全漏洞，阻截風(fēng)險威脅。

·驗證安全控制有效

確保企業(yè)安全團隊，在實驗狀態(tài)下使用與Qakbot和Emotet等IAB、QSnatch等爬蟲程序、LockBit等勒索軟件相同的技術(shù)，以及Cobalt Strike等工具，來演練相應(yīng)的攻擊模擬培訓(xùn)。

·判定惡意流量威脅

一旦檢測到Cobalt Strike，應(yīng)即刻保持警惕，創(chuàng)建事件報告并開展調(diào)查，以應(yīng)對潛在RaaS攻擊團伙或攻擊個體入侵，構(gòu)建起敏捷、深度的抵御模式。

·提升安全運營顆粒度

確保跟蹤潛在表明IAB相關(guān)威脅位于企業(yè)網(wǎng)絡(luò)中偵查的進程（如BITS、Wget或cURL），及時阻止下載中的威脅。甄別觸發(fā)IAB的原因（LNK文件、宏或VScript）。

阻截惡意流量，依靠高度安全的DNS，方能保證Web應(yīng)用程序和API始終可用。應(yīng)用Akamai Edge DNS云安全解決方案，將能夠支持客戶大規(guī)模托管DNS區(qū)域，全力保障任務(wù)關(guān)鍵型DNS可用性。同時，企業(yè)安全團隊也可受益于易預(yù)測、彈性可控的計費方式，持續(xù)提升IT投資回報率。