By Blue Coat Tim van der Horst
2014年10月08日,中国 北京——近期,我们一直在谈论Blue Coat最新报告《“一日游”主机:恶意软件如何在短命网站中隐藏自己》,是否已经引起企业的重视,真正地了解这些“短命”网站的本质和活动,最终能够抵御那些存在时间不超过24小时的网站对安全的潜在影响。
“邪恶域名”采取地规避动作
我们很早就观察到,恶意网络运营商喜欢生成大量邪恶域名。这些短暂存在的网站是密集攻击支持基础设施的一个关键组成部分。 它们确保更多僵尸能够轻易加入当前僵尸大军,并让网络犯罪分子能够更长时间利用其僵尸网络,从而提高了任何给定攻击的投资回报率。
例如,一日游主机可用来构建动态命令与控制架构,该架构有可扩展,难以跟踪,易于实施等特点。而且,它们可用来为每个垃圾邮件创建一个唯一的子域名,以便迅速摆脱垃圾邮件或web过滤器。
“一日游”主机为什么会受到网络犯罪分子欢迎?因为他们:
• 让安全解决方案一直在猜测:动态域名比静态域名更难阻止。
• 淹没安全解决方案:产生大量域名,这样一定比例的域名更有可能被安全控件所忽视。
• 躲避安全解决方案:通过简单地整合一日游网站和加密并通过SSL运行入站恶意软件和/或出站数据盗窃。企业通常会看不到攻击,这样会影响他们预防、检测和做出响应的能力。
以下表父域为例
这个令人费解的父域是僵尸网络的C&C服务器。在90天内,它有超过130万个唯一子域名。无独有偶,在前50排行榜中还有十个类似的父域作为C&C基础设施。这种网站系列本身在排名前50的父域中提供20%以上的会员资格。坏人显然在这一领域非常活跃。
今天来,明天走。这些“一日游”网站是不是真地风轻云淡的挥一挥衣袖,不带走一片云彩? Blue Coat 安全实验室已经证明7500万全球用户在90天内访问了超过6.6亿个独立主机名称。其中,71%的主机名称或者说4.7亿是“一日游”网站,仅仅出现一天时间。在那些最频繁地使用“一日游”网站的50大父域名中,22%是恶意的。还等什么?Blue Coat业务保障技术释放业务潜能,帮助企业认识并规避风险,以正确的安全技术、正确的方式实施,迎来更多业务机会。