Palo Alto Networks:網絡犯罪分子如何利用新冠肺炎疫情作惡
隨著新型冠狀病毒蔓延全球,疫情相關的話題備受關注。Palo Alto Networks 威脅情報團隊 Unit 42 的研究人員發現,自 2 月初以來,與新冠肺炎相關的 Google 搜索量和 URL 瀏覽量大幅增加。網絡犯罪分子也正是利用這些熱門話題為誘餌牟利,在疫情當前的危難時刻,令數十億人的生活雪上加霜。
由於不法分子經常利用熱門話題作惡,Unit 42 的研究人員密切監測網絡用戶對這些熱話及其相關新註冊域名的關注程度,以保障客戶安全。
透過使用 Google 搜尋趨勢和我們的流量日誌,我們發現用戶對新冠肺炎相關話題的關注度暴增,並在 2020 年 1 月底、2 月底及 3 月中旬達到高峰。
隨著用戶關注度上升,從 2 月到 3 月,與新冠肺炎相關的域名註冊量日均增長 656%。同一時期,惡意的域名註冊增加 569%,涉及惡意軟件和網絡釣魚;「高風險」的域名註冊增加788%,包括欺詐、非法開採加密貨幣,以及涉嫌與惡意網址有關或使用防彈主機 (Bulletproof hosting)的域名。
截至3月底,我們已發現 116,357 個與新冠肺炎相關的新註冊域名,當中 2,022 個為惡意域名,40,261 個為「高風險」域名。
我們根據域名的 Whois 信息、DNS 記錄和屏幕截圖(由我們的自動抓取工具收集)分類進行分析以檢測註冊活動,發現許多域名被惡意註冊並轉售牟利,當中一大部分被用於典型的惡意活動,或用於銷售短缺商品的詐騙網店。
其他濫用新冠肺炎疫情的典型惡意行為還包括:域名載有惡意軟件、釣魚網站、欺詐網站、惡意廣告、加密貨幣開採,以及用於提升不道德網站搜索排名的黑帽搜索引擎優化(Black Hat SEO)。我們檢測到許多使用新註冊域名的網店不僅試圖欺騙用戶,更有一類銷售手法極為不良的域名群組利用用戶對新冠肺炎的恐懼,進一步恐嚇他們購買其產品。此外,我們亦發現一組以新冠病毒為主題的域名正使用高風險的 JavaScript 提供網域寄放服務,而這些 JavaScript 可能隨時會將用戶重新定向到惡意內容。
總結
網絡犯罪分子總會在地區、國家及全球大事期間,利用大眾的恐懼落井下石。當災難發生時我們一次又一次觀察到網絡犯罪分子圍困受害者的行為。遺憾的是,這類惡行相信不會很快消除。
大眾應該加倍提防任何以 COVID-19 為題的電郵或新註冊網站,不論該電郵或網站聲稱擁有疫情資訊、測試工具還是治療方法。用戶亦要特別留意域名的合法性和安全性,例如確保域名是合法域名(例如: google [.] com VS g00gle [.] com),而且瀏覽器的地址欄左側有「鎖」的圖示,確保有效的 HTTPS 連接。
對於任何以 COVID-19 為題的電郵都應該採取謹慎一致的措施:查看發件人的電郵地址,因為不正當的電郵往往並非從熟識的發件人發送、地址拼寫錯誤或過份冗長,或其內容是隨機出現的字符。
為保障用戶免受網絡罪犯分子攻擊,Palo Alto Networks 認為以 URL 過濾禁止瀏覽「新註冊域名」是最佳的做法。然而,如果不能阻止瀏覽,我們則建議對這些 URL 強制實施 SSL 解密以提高其可視性,阻止用戶下載諸如 PowerShell 和可執行檔案之類的危險文件類型,並使用更嚴格的威脅防護策略,在訪問新註冊域名時增加日誌記錄。我們還建議使用 DNS層保護,因為超過 80% 的惡意軟件都使用 DNS 建立 C2。
關於全文版中特別提到的威脅和入侵指標(IOC),在 Palo Alto Networks 技術棧內已採取了以下步驟來確保達到最佳的檢測和預防機制:
- 已對功能變數名稱、IP 位址和網址進行了適當分類。
- 已更新和/或驗證了所有樣本的 Wildfire 判定。
- 已創建、更新和/或驗證了入侵防禦系統簽名。
- 已部署、更新和/或驗證了 Cortex XDR 檢測。
- 已創建、更新和/或驗證了 Autofocus 標籤。