疫情危難時(shí)刻：有人卻在拋出“誘餌”從中牟利

原標(biāo)題：疫情危難時(shí)刻：有人卻在拋出“誘餌”從中牟利

隨著新冠病毒的全球蔓延，疫情相關(guān)話題持續(xù)受到人們的高度關(guān)注。Palo Alto Networks（派拓網(wǎng)絡(luò)）威脅情報(bào)團(tuán)隊(duì)Unit 42的研究人員發(fā)現(xiàn)，自2月初以來，與新冠病毒相關(guān)的谷歌搜索量和網(wǎng)址瀏覽量大幅增加。網(wǎng)絡(luò)犯罪分子也正是利用這些熱門話題為誘餌來從中牟利。他們毫無道德底線，尤其是在當(dāng)前疫情危難時(shí)刻，這將給數(shù)十億人的生活雪上加霜。

正是由于不法分子經(jīng)常利用這些話題來進(jìn)行惡意活動(dòng)，Unit 42的研究人員密切監(jiān)測(cè)了派拓網(wǎng)絡(luò)客戶對(duì)熱門話題及與這些話題相關(guān)的新注冊(cè)域名的關(guān)注度，以保護(hù)用戶安全。

通過使用谷歌趨勢(shì)工具和我們的流量日志發(fā)現(xiàn)，用戶對(duì)新冠病毒相關(guān)話題的關(guān)注度爆增，且在2020年1月底、2月底和3月中旬達(dá)到高峰。

同時(shí)，隨著用戶關(guān)注度的上升，從2月到3月，與新冠病毒相關(guān)的域名注冊(cè)量日均增長(zhǎng)656%。在此期間，惡意注冊(cè)域名增長(zhǎng)569%，包括惡意軟件和網(wǎng)絡(luò)釣魚；“高風(fēng)險(xiǎn)”域名注冊(cè)增長(zhǎng)788%，包括欺詐、非法加密貨幣挖掘，以及與惡意網(wǎng)址有所關(guān)聯(lián)或涉嫌使用防彈主機(jī)托管的域名。

截至3月底，我們已發(fā)現(xiàn)116,357個(gè)與新冠病毒相關(guān)的新注冊(cè)域名，其中包括2,022個(gè)惡意域名和40,261個(gè)“高風(fēng)險(xiǎn)”域名。

我們根據(jù)域名的Whois信息、DNS記錄和屏幕截圖（由我們的自動(dòng)抓取工具收集）對(duì)這些域名進(jìn)行聚類分析，以檢測(cè)注冊(cè)活動(dòng)。我們發(fā)現(xiàn)，許多域名被惡意注冊(cè)并轉(zhuǎn)售牟利，且其中很大一部分被用于眾所周知的惡意活動(dòng)，并用于欺詐店鋪銷售短缺商品。

其他惡意濫用新冠病毒熱點(diǎn)的傳統(tǒng)方式還包括：域名托管惡意軟件、釣魚網(wǎng)站、欺詐網(wǎng)站、惡意廣告、加密貨幣挖礦，以及用于提升不法網(wǎng)站搜索排名的黑帽搜索引擎優(yōu)化（SEO）。我們檢測(cè)到，許多使用新注冊(cè)域名的網(wǎng)店不僅試圖欺騙用戶，其中還出現(xiàn)了一個(gè)尤為卑鄙的域名集群，它利用用戶對(duì)新冠病毒的恐懼來進(jìn)一步恐嚇?biāo)麄冑?gòu)買其產(chǎn)品。此外，我們還發(fā)現(xiàn)了一組以新冠病毒為主題的域名，它們現(xiàn)在使用高風(fēng)險(xiǎn)JavaScript提供托管網(wǎng)頁服務(wù)，而這些JavaScript可能隨時(shí)會(huì)將用戶重定向到惡意內(nèi)容。

結(jié)論

不幸的是，總是會(huì)有網(wǎng)絡(luò)犯罪分子在人們的恐懼加劇時(shí)，在地區(qū)、國(guó)家和全球事件中試圖傷害人們。當(dāng)災(zāi)難性事件發(fā)生時(shí)，我們一次次地觀察到這種行為，網(wǎng)絡(luò)犯罪分子開始圍困受害者。遺憾的是，我們認(rèn)為這種剝削性行為不會(huì)很快消失。

人們應(yīng)該高度懷疑任何帶有COVID-19主題的電子郵件或新注冊(cè)的網(wǎng)站，無論他們聲稱擁有信息、測(cè)試工具還是治療方法。應(yīng)該特別注意檢查域名的合法性和安全性，例如確保域名是合法域名（google [.] com與g00gle [.] com），并且在瀏覽器的地址欄左側(cè)有一個(gè)“鎖”的圖標(biāo)，確保有效的HTTPS連接。

對(duì)于任何以COVID-19為主題的電子郵件，都應(yīng)采取類似的措施—查看發(fā)件人的電子郵件地址通常會(huì)發(fā)現(xiàn)該內(nèi)容可能不合法，因?yàn)槭占丝赡懿恢榔鋬?nèi)容，拼寫錯(cuò)誤或長(zhǎng)度可疑且?guī)в须S機(jī)出現(xiàn)的字符。

為了保護(hù)用戶免受網(wǎng)絡(luò)罪犯分子的侵害，Palo Alto Network（派拓網(wǎng)絡(luò)）關(guān)于URL過濾的最佳建議是禁止訪問“新注冊(cè)域名”類別。然而，如果您不能阻止對(duì)“新注冊(cè)域名”類別的訪問，則我們的建議是對(duì)這些網(wǎng)址強(qiáng)制實(shí)施SSL解密以提高其可視性，阻止用戶下載諸如PowerShell和可執(zhí)行文件之類的危險(xiǎn)文件類型，應(yīng)用更嚴(yán)格的威脅防護(hù)策略，并在訪問新注冊(cè)域名時(shí)增加日志記錄。我們還建議使用DNS層保護(hù)，因?yàn)槲覀冎莱^80％的惡意軟件都使用DNS建立C2。

關(guān)于全文版中特別提到的威脅和入侵指標(biāo)（IOC），在Palo Alto Networks（派拓網(wǎng)絡(luò)）技術(shù)棧內(nèi)已采取了以下步驟來確保達(dá)到最佳的檢測(cè)和預(yù)防機(jī)制：

·已對(duì)域名、IP地址和網(wǎng)址進(jìn)行了適當(dāng)分類。

·已更新和/或驗(yàn)證了所有樣本的Wildfire判定。

·已創(chuàng)建、更新和/或驗(yàn)證了入侵防御系統(tǒng)簽名。

·已部署、更新和/或驗(yàn)證了Cortex XDR檢測(cè)。

·已創(chuàng)建、更新和/或驗(yàn)證了Autofocus標(biāo)簽。

由于冠狀病毒爆發(fā)的突然性，許多員工正在自我隔離并在家辦公。盡管企業(yè)一直通過VPN連接為員工提供安全訪問，但是需要安全訪問的員工數(shù)量卻是前所未有的，并且需要額外的資源和容量。

Palo Alto Networks（派拓網(wǎng)絡(luò)）的云端安全訪問服務(wù)邊緣（SASE）平臺(tái)Prisma Access，可為遠(yuǎn)程辦公室和移動(dòng)用戶提供統(tǒng)一的策略實(shí)施和安全性，并將隨著業(yè)務(wù)需求的發(fā)展而調(diào)整規(guī)模。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。