攻击“高速公路”:深入研究恶意DNS流量

本文作者丨Akamai Security Research

近日,网络安全公司Akamai对恶意命令和控制(C2)流量进行了调查,以深入了解企业和家庭网络中的普遍威胁。根据数据显示:
  • 在任何给定的季度,都有10%到16%的组织在其网络中遭遇C2流量。C2流量的存在表明正在进行的攻击或入侵的可能性;
  • 26%的受影响设备接触了已知的初始访问代理(IAB)C2域,包括Emotet和qakbot相关域。IAB给组织带来了很大的风险,因为它们的主要角色是执行初始攻击,并向勒索软件组织和其他网络犯罪组织出售访问权限;
  • 攻击者正在通过QSnatch滥用网络连接的存储设备,从而使备份和敏感数据面临被盗或泄露的风险;
  • 30%的受影响组织来自制造业,这凸显了网络攻击对现实世界的影响,如供应链问题和日常生活的中断;
  • 针对家庭网络的攻击正在寻求滥用新的攻击面。家庭网络中的大量攻击流量可能与移动恶意软件和物联网(IoT)僵尸网络相关;
  • 分析发现,FluBot恶意软件正在欧洲、拉丁美洲和亚洲迅速爆发。该恶意软件使用社会工程技术通过手机信息传播,一旦安装,就会试图进一步传播并窃取受害者的银行凭证。

域名服务器——攻击流量的“高速公路” 

域名系统(DNS)自诞生之初就一直是互联网基础设施的重要组成部分。我们的大部分互联网使用,无论是在家里还是在工作中,都必须通过DNS正确地导航到万维网上的目的地中。毫无疑问,攻击者经常选择利用这种基础设施来推动他们的攻击——无论是访问命令和控制(C2)服务器以等待命令的威胁,还是为了将恶意文件下载到计算机上而访问域的远程代码执行。由于其无处不在,DNS已成为攻击基础设施的重要组成部分。
十多年来,攻击者一直在使用域生成算法作为逃避检测和规避安全措施的手段。虽然通过DNS的流量通常被视为用户和网站之间的交互,但实际上,它可以包含大量恶意流量,并作为攻击基础设施的重要组成部分。
在这份报告中,Akamai公司提供针对全球家庭用户和企业的恶意流量分析。对恶意DNS流量的全面分析,包括与攻击者群体或工具的相关性,可以为组织提供有关其组织面临的最普遍威胁的重要信息。因此,这些信息可以帮助安全从业者评估他们的防御态势,并进行差距评估,以弥合针对他们的技术和方法。如果不这样做,可能会导致违规行为,导致机密数据丢失、财务损失或因违反法规而受到处罚。到2025年,网络犯罪的成本预计将飙升至每年10.5万亿美元,企业必须在攻击发生之前就做好准备。

组织中恶意通信的普遍性

多级攻击(Multistage attack)已经成为现代攻击格局的主要内容。攻击者发现,当他们能够一起工作(或雇佣彼此),或者当他们能够在一次攻击中结合各种工具时,成功率会越来越高。C2是这些攻击成功的关键。它们不仅可以用于通信,还可以用于下载有效载荷和下一阶段的恶意软件,以继续进行攻击。
根据我们的DNS数据显示,在任何给定的季度,都有10%到16%的组织经历过至少一次C2流量试图流出其网络的实例(见图1)。这可能表明恶意软件试图与运营商通信,这是一个潜在的漏洞迹象。成功的攻击可能会导致数据泄露、勒索软件攻击等等。研究还强调了将零信任原则应用于DNS以防止恶意软件在网络中发展或造成损害的有效性。

【图1:对恶意C2流量的分析显示了受C2影响的组织百分比】

在图2中,我们观察到的C2域可以分为属于特定威胁家族或攻击者组的域和不属于特定威胁家族或攻击者组的域。攻击组分为IAB组、僵尸网络组和RaaS组。数据显示,其中IAB是企业网络面临的最大威胁之一,就像旨在泄露数据的僵尸网络一样。

【图2:企业是僵尸网络、IAB和信息窃取器的主要攻击目标】

我们还观察到勒索软件、远程访问工具(RAT)和信息窃取器都在不同的攻击阶段发挥着关键作用。在地下市场,新手攻击者和有经验的网络犯罪分子都可以轻易获得这些工具,使他们能够轻松获取初始入口,隐藏在网络中,并进一步进行攻击,组织比以往任何时候都更容易受到网络犯罪的影响。

家庭网络显示出来自僵尸网络的大量流量

攻击者将目标锁定在企业,因为成功攻破企业的网络会带来更大的回报。他们使用广泛的工具和策略渗透企业边界,保持持久性,并在某些情况下,窃取机密信息。因此,我们在前一节中讨论的企业网络中看到了信息窃取器和IAB等威胁。然而,在家庭网络这个完全不同的场景中,同样涉及正在使用的威胁。
家庭用户所代表的人群通常不像企业环境那样安全,但这种人群也不会带来同样的货币回报。攻击者知道这一点,所以想办法利用他们更容易感染家庭设备的能力来赚钱。例如,他们发动大规模的攻击,希望通过“撒网并祈祷(spray and pray)”战术破坏尽可能多的设备,而对企业的攻击则具有很强的针对性。
一旦这些家庭设备成为大规模僵尸网络的一部分,攻击者就可以在用户不知情的情况下动员这些僵尸设备进行无数的网络犯罪活动,比如向组织发送垃圾邮件和发起DDoS攻击。为了让僵尸网络成功或者让网络犯罪分子租用他们的僵尸网络,他们需要感染尽可能多的设备。攻击者通过影响家庭用户获得经济利益的另一种方式是将受感染设备的计算资源用于加密挖掘目的。
分析结果显示,Pykspa(一种通过Skype向受影响用户的联系人发送恶意链接来传播的威胁)占全球标记的3.67亿个DNS查询(图3)。这种威胁通过Skype向受影响用户的联系人发送恶意链接来传播。在某些情况下,当在浏览器的选项卡中打开Twitter时,它还会创建一条带有恶意软件下载链接的推文。此外,它还采用了域生成算法(DGA)来建立C2通信。在过去,它的v2使用其DGA的一个子集来防止被检测到,并在网络中停留更长的时间。
它的后门功能允许攻击者连接到远程系统并执行任意命令,例如下载文件、终止进程,并通过各种方式(例如映射驱动器、网络共享)传播等等。Pykspa还查询Skype配置以收集有关受影响用户的个人信息。它还可以阻止用户访问某些网站,特别是如果这些网站包含与反恶意软件解决方案相关的某些字符串。有趣的是,它会检查受影响用户的Skype语言界面,如果这是他们正在监控的多种语言之一——包括英语、德语、法语、西班牙语和意大利语——恶意软件会相应地调整垃圾邮件Skype消息。

​【图3:Pykspa、FluBot恶意软件和Mirai是在家庭网络DNS流量中观察到的前三种僵尸网络】

特别有趣的是,针对家庭用户的威胁面正在扩大。我们能够确定影响家庭用户的两个最突出的C2流量僵尸网络是FluBot和Mirai。其中,FluBot是Android恶意软件僵尸网络,主要通过短信感染安卓手机,诱使用户点击恶意链接,随后导致下载恶意软件。作为其传播策略的一部分,FluBot恶意软件将受影响用户的联系人列表上传到C2服务器上,并以相同的社会工程诱饵发送受害者的联系人。对于用户来说,在他们的设备上安装FluBot会使他们的银行和金融信息面临风险,因为当用户访问合法的银行应用程序时,这种恶意软件有能力覆盖虚假页面。因此,这些凭证可能被用于身份盗窃或进行欺诈性交易。
这种恶意软件使用各种社会工程诱饵。例如,它可能会建议用户点击一个链接来检查他们的包裹递送状态;在其他情况下,它可能会告诉用户有语音邮件信息,诱使用户下载虚假的语音邮件应用程序。它也可能假装是一个安全更新,并敦促用户点击链接。一旦用户点击链接,它就会指示他们下载一个应用程序。这个应用程序反过来会请求访问联系人列表和拨打电话等权限。这种威胁之所以如此危险,是因为它还要求访问辅助服务的权限,允许攻击者控制屏幕点击,可能会导致安装更多应用程序。建议用户出厂重置设备以删除该恶意软件。
研究显示,Mirai紧随FluBot恶意软件之后,有1.56亿标记的DNS查询。Mirai以瞄准开放telnet端口的物联网设备而闻名,因针对最大的DNS提供商之一的DDoS攻击而臭名昭著。这种自我传播的蠕虫会寻找使用默认用户名和密码组合的易受攻击的设备。它一度聚集了超过10万台僵尸设备,攻击者用它们对知名目标进行DDoS攻击。在之前的一次攻击中,Mirai利用14.5万部设备攻击了一家技术公司。该案例说明不安全的设备如何被武器化,进行网络攻击,并对企业造成大规模破坏。
2016年,Mirai背后的组织发布了源代码,可能是为了防止执法部门追踪到原始作者(并因此避免被捕)。基于此,其他组织也开始利用Mirai代码,用更多的功能来修改和增强它,比如能够感染系统。将代码公开的影响之一是,我们看到了新的变种,如Okiru、Satori、Masuta和PureMasuta,其目的也是为了发起DDoS攻击。尽管重新启动受感染的设备会有所帮助,但由于恶意软件会不断扫描设备,除非用户更改密码,否则很有可能再次被感染。

网络钓鱼概况

在DNS流量分析的最后一部分中,Akamai研究了网络钓鱼工具包及其在网络钓鱼活动成功中的关键作用。由于对手所使用的策略不断发展,网上可获得的个人信息越来越多,网络钓鱼仍然比以往任何时候都重要。攻击者正在利用社会工程使他们的网络钓鱼尝试看起来合法,有证据表明,这些攻击的成功率仍然很高。一些新颖的策略包括使用虚假用户的证词作为骗局的一部分,以及新发现的使用HTML锚来确保只有合法用户登录骗局网站的技术。
新冠病毒大流行导致远程工作增加,这也加大了检测和预防网络钓鱼攻击的难度,因此个人和组织保持警惕并采取措施保护自己变得更加重要。此外,社交媒体的兴起和连接到互联网的设备数量的增加也为对手创造了更多的机会。
研究发现,针对金融和高科技组织的攻击数量和受害者数量都处于领先位置(见图4)。数据显示,40.3%的针对金融服务客户的攻击导致68.4%的受害者,这表明在2022年第四季度,针对金融服务的攻击非常有效。
此外,电商行业在2022年第四季度也遭遇了23%的网络钓鱼活动。虽然我们看到的攻击活动比实际的受害者要多,但同样值得注意的是,攻击者的目标是这个行业,用户必须保持警惕,因为网络犯罪分子可能会追查他们的个人或银行信息。

【图4:大部分网络钓鱼活动以金融服务业为目标(2022年第四季度)】

此外,研究还跟踪了300多个不同的网络钓鱼工具包,这些工具包被用于发起新的攻击活动,在2022年第四季度,2.04%的被跟踪工具包在至少54天内被重复使用(图5)。此外,55.5%的工具包在至少四天内被重复使用以发起新的攻击活动,并且在2022年第四季度,100%的跟踪工具包在不少于两天内被重复使用。

【图5:网络钓鱼工具包重复利用天数】

建议:以积极主动的措施对抗现代攻击

既然已经了解了威胁群体和攻击者方法,那么接下来让我们讨论一下如何利用所有这些信息。我们将从如何管理DNS开始——内部管理或外包给第三方。对于更大或更复杂的组织,建议使用专门管理DNS的提供商。不过,无论哪种方式,都要确保监视DNS的性能和保护。
接下来,考虑自身将需要的不同控件。DDoS保护、恶意软件攻击和抓取、横向移动和泄露是需要缓解的关键领域。遵循这一数据旅程并寻找所有可以在每一步停止的关键漏洞,这是一个通常被称为“网络杀伤链”的网络安全模型。
考虑为本报告中涉及的攻击技术创建操作指南。与渗透测试团队或红队一起检查,确定他们是否使用与IAB(如Qakbot和Emotet)、机器人(如QSnatch)、勒索软件(如LockBit)和工具(如Cobalt Strike)相同的工具和技术。重要的是要确保组织的安全控制能够有效地警报和阻止这些类型的攻击,并且团队接受过处理这些攻击的培训。
如果在组织网络中检测到Cobalt Strike,谨慎的做法是立即创建事件报告并进行调查。尽管红队可以使用该工具(在这种情况下,仍然应该进行调查和报告),但这种流量的存在应该发出警报,因为这可能表明有其他RaaS攻击组织或威胁参与者入侵。
最后,考虑组织的安全运营中心(SOC)如何运营,并确定如何跟踪可能表明与IAB相关的威胁在网络中进行侦察的可能性进程(如bits、Wget或cURL)。关键部分是找出下载了什么,如果它仍在运行,就停止它。然后,调查是什么触发了IAB——是LNK文件,宏,还是VScript?——并从中发现漏洞是如何开始的。