殭屍網絡威脅威脅不斷 魔爪已伸向IoT

殭屍網絡從來沒在網絡世界消失，近年高速發展的IoT已身害其中。全球最大且備受信賴的雲端遞送平台Akamai Technologies, Inc. (NASDAQ：AKAM) 於本月23日發表2018 年春季《互聯網現況 / 安全：電信業者洞察報告》，說明資訊分享在對抗網絡威脅的防禦上是重要因素。該報告分析在 2017 年 9 月至 2018 年 2 月期間，Akamai 從世界各地通訊服務供應商 (Communications Service Provider；CSP) 網絡所收集超過 14 兆筆的 DNS查詢資料。

逾 19 年來，Nominum (由 Akamai 在 2017 年收購) 利用深入的DNS 資料來提升整體防護，對抗 DDoS (分散式阻斷服務)、勒索軟件、木馬和殭屍網絡等進階型網絡攻擊。Akamai 的電信業者洞察報告以Nominum 的專業為基礎，顯示利用來自其他安全層資料所強化的 DNS 安全成效。這種多層安全性方法需要集合各種安全解決方案來整體防護公司的資料。

Akamai 威脅情報數據科學總監YuriyYuzifovich 表示：「若只對個別系統所遭受的攻擊作單獨的理解，並不足以讓防衛者能夠面對現今複雜的威脅形勢。與各種平台的溝通是對於取得跨團隊、系統和資料集知識的關鍵。我們認為Akamai的服務所提供的 DNS 查詢能作為策略要素，讓安全團隊具備掌握整體威脅形勢所需的適當資料。」

抵禦Mirai 殭屍網絡威脅：行動上的合作

Akamai 內部團隊的合作在發現Mirai 指揮及控制 (Command and Control；C&C) 網域上扮演關鍵角色，讓未來對Mirai 的偵測更加完整。Akamai 安全情報與應變團隊 (Security Intelligence Resonse Team；SIRT) 自Mirai 出現以來便持續追蹤，以誘捕系統偵測Mirai 的通訊，並辨識其 C&C 伺服器。

2018 年 1 月下旬，Akamai 的 SIRT 和Nominum 團隊分享了超過 500 個可疑Mirai C&C 網域的清單記錄。旨在瞭解使用 DNS 資料及人工智能是否能擴增此清單，並且讓未來對Mirai 的偵測更加完整。透過多層分析，Akamai 聯合團隊成功擴增了Mirai C&C 資料集，並發現了Mirai 殭屍網絡和 Petya 勒索軟件的散佈者之間的連結。

該合作分析指出了 IoT 殭屍網絡的演化，包括從幾乎完全獨立發動的 DDoS 攻擊使用案例，到散布勒索軟件和加密貨幣挖礦等更複雜的行動。對於多數使用者而言，由於入侵的指標很少，因此IoT 殭屍網絡很難偵測，然而這些團隊的合作研究下，創造機會發現並封鎖數十個新 C&C 網域，藉以控制殭屍網絡的活動。

Javascript加密貨幣挖礦程式：暗中運作的商業模式

大眾的加密貨幣採用率有大幅度的成長，而加密貨幣挖礦惡意軟件的種類以及受其感染的裝置數量，也呈現同樣大幅的成長。

Akamai 觀察到兩種不同的大規模加密貨幣挖礦商業模式。第一種模式利用受感染裝置的處理能力，來挖取加密貨幣代幣。第二種模式採用嵌入內容網站的程式碼，使造訪該網站的裝置為加密貨幣挖礦程式所用。因為其對網站使用者和擁有者帶來新的安全挑戰，Akamai 對第二種商業模式進行了分析。分析加密貨幣挖礦程式網域後，Akamai 能估計出這樣的活動所造成在電腦處理能力和金錢方面的損失。而此研究延伸出一個有趣的面向，除廣告收益以外，研究顯示加密貨幣挖礦能夠為網站獲取資金的有效替代選項。

快速變化的威脅：惡意軟件和攻擊的改造

網絡安全不是個靜止不變的產業。研究人員觀察到黑客將舊的技巧重新使用於當今的數碼環境。在 Akamai 收集此資料的六個月期間，幾起顯著的惡意軟件活動和攻擊顯示出在執行程序上有明顯的變化，包括：
● 網絡代理自動發現 (Web Proxy Auto-Discovery；WPAD) 協定被發現在 2017 年 11 月 24 日和 12 月 14 日期間用來將 Windows 系統暴露於中間人(Man-in-the-Middle) 攻擊。WPAD用於受保護的網絡 (例如 LAN) ，並讓電腦在暴露於互聯網時，對顯著的攻擊呈開放狀態。
● 惡意軟件的作者除了收集金融資訊之外，也正朝向收集社交媒體登入資料的方向擴展。Zeus 殭屍網絡的分支之一Terdot ，建立本地代理程式並讓攻擊者執行網絡間諜報 (Cyber-espionage)行動且於受害者的電腦推廣假新聞。
● Lopai殭屍網絡就是殭屍網絡作者如何建立更具彈性的工具的例子。這種流動惡意軟件主要以 Android 裝置為目標，並採用模組化設計，讓擁有者建立能夠提供新功能的更新。