恶意域名服务基础架构篮板到近历史级别
一项研究表明,在2015年的最后一季度飙升的恶意域名服务(DNS)基础设施飙升,返回接近记录水平。
根据网络控制公司Infoblox编制的威胁指数,刚刚在同一时期的新的恶意域中占了90%的新恶意域。
在2015年第三季度略微浸出后,InfoBlox DNS威胁指数在第四季度增加到128至128次 - 2015年第二季度成立的133次临近。
与2014年同期相比,这一增长率为49%,从上一季度增加了5%。
这意味着DNS威胁指数报告说,恶意域名的数量从季度到季度和年度增加。
结果还表明过去的“恶意基础设施的”种植“之后的几个相对安静的变化,因为网络犯罪分子用于收获数据和伤害受害者的基础设施。
结果表明,2015年全部威胁指数远高于其历史平均水平,这意味着各种规模和类型的组织继续面临无关的攻击。
“我们的研究结果可能表明,我们正在进入持续和同时种植的新阶段[恶意基础设施],并收获[数据],”网络安全在Infoblox副主席Rod Rasmussen说。
“当我们看到网络罪犯的努力升级时,我们必须在网络犯罪分子使用这些域名的基础设施之后。因此,我们首次使用该索引来突出显示具有托管地点的托管地点的国家,“他说。
InfoBlox通过新域名的注册以及以前合法的域名或主机的登记来追踪恶意DNS基础架构。
指数的基线是100,这是在2013年和2014年的八个季度创建基于DNS的威胁基础架构的平均值。
DNS是互联网的地址簿,翻译域名,如Computerweekly.cominto机器可读的Internet协议(IP)地址,如206.19.49.154。
由于DNS是几乎所有互联网连接所必需的,因此网络犯罪分子不断创建新的域名和子域,以释放各种威胁,包括利用套件,网络钓鱼和分布式拒绝服务(DDOS)攻击。
如果美国托管提供商在识别危险域中的危险域中迅速取消恶意内容,这将是一线希望,但他们不是Lars Harvey,InfobloxInfoblox透露,它发现,在2015年第四季度使用恶意DNS基础设施的托管和推出攻击的清除国家是美国,其中占新观察到的恶意域名的72%。
德国占20%,是唯一一个占观察到的恶意网站的2%以上的国家。
这些国家占1%以上的国家是土耳其(1.8%),爱尔兰(1.79%),瑞士(1.27%)和英国(1.14%)。
虽然许多网络犯罪起源于东欧,东南亚和非洲的热点,但该分析表明,用于推出攻击本身的潜在基础设施 - 在世界顶级经济的后院。
报告称,要注意的是,地理信息并不是一个指示“糟糕的家伙所在的地方”,因为利用套件和其他恶意软件可以在一个国家开发,在另一个国家销售并在第三个中使用通过第四个托管的系统攻击。
但报告称,恶意基础设施的地理位置确实表明,哪些国家倾向于具有宽松规定或警务,或两者。
该报告所述位置不表示保护。仅仅因为域名在美国或德国托管并没有使其安全,并且犯罪分子就可能利用这些国家存在的丰富的技术和服务基础设施,这是任何合法的业务,并指出它将是难以使这种基础设施反对利用而不限制大部分速度和响应能力,使其对业务有吸引力。
“如果美国托管提供商在危险域一旦确定,但是如果没有,这将是一线希望,但没有,但没有,”Infoblox安全战略副总裁Lars Harvey说。
“问题的事实是,许多托管提供商可以慢慢回应,允许利用以比应对的要长得更长。这应该是一个关键的改善关键领域,“他说。
利用套件是一个特别令人惊动的恶意软件,因为它们代表了网络犯罪的自动化。少数高技能的黑客可以创建套件 - 包装,用于提供恶意软件有效载荷 - 然后销售或租用这些工具包,以少的技术经验。
这可以大大增加能够在辛勤化,企业,学校和政府机构之后进行恶意攻击者的行为。
虽然垂钓者继续带领DNS利用套件活动,钻机 - 一个较旧的套件 - 汹涌澎湃。2015年钻机活动的Infoblox分析表明,它开始使用与钓鱼者开创的域阴影技术,以击败基于声誉的阻塞策略。
域阴影是窃取域注册登录以创建子域的过程。
Infoblox表示,这表明,由于未来更新了利用套件,可能会在新的幌子或位置重新出现过去的威胁。
该报告称,Infoblox突出了恶意域创造的前源国,希望更大的意识和审查可以帮助缓慢恶意软件的传播。