讀者受支持當您使用本網站上的鏈接進行購買時,有時會收到佣金。
只要人類文明蓬勃發展,我們就必須處理傳染病的現實。公元541年和公元750年之間,賈斯汀尼亞人的瘟疫佔了估計有5000萬人,大約是世界人口的一半。大約800年後,相同的細菌以黑色死亡的形式重新浮出水面,在短短四年內奪走了2億人。
儘管大流行並不是什麼新鮮事物,但新穎的冠狀病毒是在數字背景下發生的第一個真正的全球大流行,事實證明,這種影響是深刻的。在和平時期,我們從來沒有見過如此規模的公民自由。然而,互聯網以某種方式使我們的生活方式限制了這些限制。我們仍然與親人和家人有聯繫。由於高速連接和大量基於現成的基於雲的解決方案,許多組織雖然絕非全部能夠採用工作中的模型。好像萬維網還沒有深深地根深蒂固,它具有新的含義,現在是信息,溝通和舒適的重要手段。
不幸的是,這種對數字連通性的絕對依賴,再加上更高的恐懼和焦慮,為網絡犯罪分子創造了完美的風暴。
當涉及大流行的數字影響時,已經公開提供了大量的研究。幾乎每個威脅情報組織都盡了最大的努力將數據開放給情報界。 COVID-19網絡威脅聯盟在將這些各種商業力量匯總在一起方面做得非常出色。微軟最近還宣布,它已經開源了其COVID-19相關威脅情報。
但是,許多可用的數據集幾乎完全借鑒了專有系統。它們是信息的單一來源。我們的研究方法有所不同,因為我們正在藉鑑業內一些最著名的安全供應商的匯總數據,以便為分析提供信息。無論是否脫機,我們都存儲並共享了所有數據。從本質上講,我們創建了一個時間膠囊,而不是實時快照。這種大流行很可能證明我們與技術關係中的關鍵點,毫無疑問,學者,社會科學家和網絡安全研究人員將為幾代人進行研究。我們的希望是,我們的方法為研究人員提供了一種供應商中立和全面的概述,以便將來借鑒。
除了在整個過程中公開提供所有數據外,我們還創建了一個簡單的接口,以便公眾可以查詢我們的數據集,以了解是否已將域名標記為惡意。
方法論
該項目以一個簡單的目標開始 - 收集與大流行有關的盡可能多的領域,確定它們是否用於惡意目的,並與公眾共享該數據。多虧了Virustotal和Whoisxml API,我們能夠擴大遠遠超出我們最初的野心的研究範圍。
whoisxml api
WHOISXML API今天在網絡上可用的GTLD和CCTLD擁有最大的WHOIS數據庫。其客戶群包括《財富》 500強公司,威脅情報組織,安全供應商,網絡犯罪部門和政府機構。
在研究的第一階段(3月下旬),我們使用證書透明度日誌和打開數據集來告知我們的數據收集。我們與WHOISXML API的合作夥伴關係為我們提供了一種強大的方法,可以每天積極監視域名註冊。
我們還使用了他們的歷史記錄和API來確保我們的數據集盡可能完整而準確。
病毒
Virustotal是一家字母(Google)擁有的公司,並與60多個安全供應商合作,以匯總惡意軟件,病毒和其他安全數據。它為研究人員和公眾免費提供文件掃描(惡意軟件)和URL掃描服務。將URL直接提交給Virustotal後,它查詢了這些合作夥伴的數據庫,結果存儲在Virustotal的數據庫中以供將來參考。他們還提供了一個API,使研究人員可以查詢Virustotal數據庫以檢查URL是否已經被標記為惡意。這就是用於告知這項研究的原因。
因為我們是在詢問Virustotal的數據庫,而不是提供提供商的數據庫,所以我們在掃描之前給域提供了“床上用品”,以便為域名提供足夠的時間,以使域名武器化,並將這些數據傳遞給Virustotal。這通常是7天,儘管14天后許多域都被拆除了。
值得注意的是,安全供應商通常會產生不同的結果。一個URL可能被Sophos標記為良性,但被Fortinet標記為惡意。由於研究的性質,我們決定將閾值設置為盡可能低,這意味著,如果任何供應商都返回了“惡意”標籤,那麼對於研究目的而言,該領域被認為是惡意的。
威脅檢測數
跟踪主題
在第1階段,我們只使用“ Covid”和“ Corona”等字符串觀察到與共同相關的令牌域。但是,隨著大流行的發展,很快就顯而易見,新的攻擊向量將基於不斷發展的公眾關注,媒體報導,道德恐慌和政府行動而出現。
使用自然語言分割技術(以下說明),我們分析了現有數據的語料庫,以確定不良行為者使用的新壁ni以利用大流行。然後將這些添加到我們的日常監控中。
在發佈時,我們正在監視以下關鍵字:
- 王冠
- 病毒
- 冠狀病毒
- N95
- 大流行
- 治愈
- 疫苗
- 面具
- 消毒/消毒
- 消毒
- 抗+身體/身體
- 偏僻的
- 封鎖
- 隔離
- 刺激
- 失業
- 接觸+跟踪
- 社交+距離
對於那些被標記為惡意的領域,我們隨後使用WHOISXML API來提取完整的WHOIS數據,以進一步告知分析。
域隨著時間的流逝
惡意活動與疾病的傳播緊密相關,也許並不奇怪。隨著世界不僅限於中國和鄰國州,全球媒體的報導發現自己被這個故事所消耗的事實。政府策略在一個小時內發生了變化,社交媒體以前所未有的速度傳播了錯誤信息。
在收集數據的前幾週之後,很明顯,我們能夠跟踪特定事件的惡意活動。例如,當世界衛生組織(WHO)指定由冠狀病毒引起的疾病的正式名稱(Covid-19)時,惡意活動發生了很大的激烈,因為壞演員搬到了Covid的機會上。
當道瓊斯瓊斯(Dow Jones)遭受了記錄的最大一日遊,中國的製造場停止了,還有另一個清晰的尖峰。當爆發正式證實“大流行”時,惡意活動的增加變成了指數,就像疾病本身的傳播一樣。
在整個大流行中分析廣泛的主題
雖然令牌域已經是迄今為止最具利用的域類型,但我們想了解不良演員用來吸引用戶單擊的更廣泛主題。
為了實現這一目標,我們使用了基於Google Web數万億個單詞語料庫的自然語言單詞細分技術,從我們現有的域數據庫中獲取Bigram和Umigram數據。然後,我們過濾出令牌術語以更好地識別常見子主題。
然後,我們使用此數據擴展了搜索半徑以獲取其他惡意域。
幾乎立即,我們可以看到來自數據中出現的一些常見主題,其中最明顯的是掩蓋。全球個人防護設備(PPE)的短缺使醫療保健組織和公眾急切地尋求醫療級面具。最重要的是,關於面具的有用性,政府和非政府組織都有很多混合的消息傳遞。這種混亂的狀態結合了真正需要PPE以在短時間內創建的數千個與面具相關的域的形式表現出來。
同樣,當Zoom發現自己是鎖定人員的事實上視頻會議平台時,惡意域開始彈出以利用這項新的熱門計算機技術。隨著故事開始打破有關公司的隱私問題的打破,惡意活動再次引發。
隱藏在樸素的視線中:雲中的晦澀
在整個分析過程中,我們注意到成千上萬的域已解決為單個IP。這通常發生在共享的託管環境中或域使用內容交付網絡(CDN)時。到目前為止,我們數據集中最受虐待的IP是184.168.131 [。 ] 241屬於亞利桑那州斯科茨代爾的巨型Godaddy。該IP與我們在整個過程中收集的3,285個域有關。鑑於Godaddy是世界上最大的託管提供商,佔所有網站的15%以上,因此大多數活動已經在其基礎架構上進行了,其中大部分是由Amazon Web Services提供的。
註冊服務商一直在採取果斷行動來打擊大量的惡意活動。 Godaddy在罐頭陳述中說:
“迄今為止,我們的團隊已經調查並刪除了Covid-19欺詐網站,以響應報告,我們的警惕將在Covid-19-19危機結束後很長時間[...]我們已經為我們的團隊提供了他們所需的工具和技術,以迅速調查任何虐待報告。”
但是,正如我們在下面解釋的那樣,威脅變得越來越細微,因此,隨著我們進入大流行的後期,壓制這項活動的鬥爭將變得更具挑戰性。
還值得注意的是,單個域名分解為多個IP的情況很多。這是因為域名具有多個冗餘主機,或者再次使用CDN,例如CloudFlare。在這種情況下,基於用戶的物理位置,成千上萬的域可能會解散到邊緣服務器的同一IP。這種資源的地理重新分佈減少了網絡延遲並改善了服務的可用性;但是,由於惡意域與許多其他良性域具有相同的IPS,因此它也為不良演員提供了一層匿名性。
儘管許多人對公眾的IP映射並不意味著很多,但對於試圖通過IP阻止惡意域名的IT部門來說,這可能是一個挑戰。以上面的IP地址為例,黑名單184.168.131 [。 ] 241將使大約8,665,477個域無法到達。
託管惡意領域在哪裡
攻擊的解剖學:抗擊
在過去的五個月中,很明顯,我們不僅在與大流行作鬥爭。我們正在抗擊不良的。世衛組織描述了一種不可傳達的信息 - 有些準確而有些,這使人們很難在需要時找到值得信賴的來源和可靠的指導。在這種矛盾的環境中,網絡犯罪分子能夠蓬勃發展。
儘管我們數據集中包含的某些站點是複雜的惡意軟件攻擊的一部分,但發現絕大多數與低級網絡釣魚活動有關。我們之所以稱這些“低級”之所以稱為“低級”,是因為所使用的方法沒有新穎或獨特,但是術語不應損害網絡釣魚仍然是現有最廣泛使用和毀滅性的惡意技術的事實。
這樣做的原因是兩個方面 - 首先,因為網絡釣魚總是(而且可能永遠)非常有效。它針對網絡安全鏈中最弱的聯繫 - 人為錯誤;它依賴於大規模可擴展的火和忘記的方法。
第二個原因是,幾乎全部刪除了進行複雜的大規模運動的進入障礙。演員可以在黑暗網絡上購買“網絡釣魚套件”,並以幾乎為零的技術知識執行它們。
這些套件提供了發起復雜攻擊所需的一切,包括高度拋光的著陸頁,以及捕獲數據並混淆供應商和當局的惡意域所需的各種PHP文件。在搜索了著名的.onion市場,我們就可以找到美國銀行和巴克萊銀行的工具包。
在我們的研究中,我們發現其中許多套件都包括各種混淆技術和有關如何避免檢測的指南。在最近的一項研究中,研究人員重新創建了其中三種混淆技術:(1)重定向,使用URL縮短器服務來混淆網絡釣魚URL。 (2)基於圖像的混淆:使用模仿(PayPal)的網站的屏幕截圖作為網站網站的背景圖像,將登錄表單疊加在圖像之上。 (3)PHP混淆,使用通用技術掩蓋代碼的意圖。他們將每個站點提交給Virustotal,然後在一周後重新提交。
雖然重定向沒有太大影響,但事實證明,基於圖像和基於代碼的混淆是非常有效的,而惡意標籤的平均數量分別從12.1下降到4.5和2。
這表明許多供應商無法處理簡單的混淆方案,因此,惡意網絡釣魚活動的真實數量可能比我們的研究表明的500%高出500%。
就大流行而言,我們看到的最複雜的運動是那些官方信息來源(例如世界衛生組織或政府機構)。如前所述,公民在噪音中拼命尋找信號這一事實為網絡釣魚運動蓬勃發展創造了理想的條件。以下是據稱是英國政府的攻擊的一個例子。
可以看出,這些比普通的垃圾郵件電子郵件更加精緻。包含正確的徽標和官方網站,以獲得受害者的信心。
以下是一封電子郵件,聲稱來自疾病控制中心(CDC):
蒙版鏈接導致模擬Microsoft Outlook接口的頁面,以促進用戶登錄。電子郵件和著陸頁都非常令人信服,並且很可能會成功捕獲用戶數據。
地下移動:我們已經通過了高峰,但是威脅變得越來越專注
值得慶幸的是,與共同相關的域名註冊的總體上升正在下降。但是,我們仍然看到每天註冊的700至1,200個與共同相關的域之間看到的任何地方。
Sophos是CTC的成員,他報告說,Sophos客戶中與Covid相關的域中每天看到多達80,000次命中,但這與每天每天的峰值每天訪問110,000次訪問量下降,並且4月14日的峰值每天的峰值率為每天130,000次訪問。
儘管廣泛的中風電暈/共同主題領域正在衰落,但現實是惡意演員尚未放棄,但現在以更有針對性的方式集中精力。這是出於多種原因。首先,隨著他們與大流行的聯繫變得越來越抽象,註冊服務商和威脅情報界將識別這些運動的機會較小。
其次,儘管惡意域的總數正在減少,但其效力和功效正在增加。惡意運動現在正在解決我們最親密的問題。我的孩子什麼時候回到學校?我會失業嗎?我還能做些什麼來確保親人的安全?正是這些 - 真正的人類問題將推動惡意活動的“第二峰”。這是數字大流行中的下一個戰線。
探索數據
直接數據下載:
| 保守|病毒惡意域 | |
| WHOIS的惡意域數據 | |
| 完成數據集 |
對公民的建議
始終處理需要立即採取懷疑的電子郵件和短信。網絡釣魚運動使用針對人類情緒或要求的“誘餌”。謹慎對待與Covid-19有關的任何通信。例如 - 庫維德測試結果和PPE可用性。
單擊之前,請務必仔細檢查鏈接。懸停在鏈接上,看在瀏覽器的角落。如有疑問,請複制鏈接,而無需打開並粘貼到:https://www.virustotal.com/gui/home/url
不要相信已縮短的URL!
不要僅僅因為它們具有“安全”的掛鎖符號或使用SSL(HTTPS)而信任。
如果您不確定是否信任源,請使用其他通信渠道(例如電話)與發件人聯繫。
如果您使用的是雲郵件服務提供商(Gmail,Outlook,Yahoo,Apple等),並且收到網絡釣魚電子郵件,請將其報告給您的提供商。界面中通常有一個按鈕來報告此類電子郵件。如果您收到可疑的電子郵件到您的業務地址,請將消息轉發給您的IT部門。
鼓勵您向當局報告任何可疑活動。
美國居民
聯邦調查局的互聯網犯罪投訴中心(IC3),,,,
通過電子郵件發送FTC消費者信息
英國居民
國家欺詐情報局
歐盟居民
歐洲刑警組織
短信(SMS)垃圾郵件
美國居民
將其轉發至7726(垃圾郵件)。
英國居民
信息專員辦公室