自2020年3月9日到2020年4月26日的7周時間里，Palo Alto Networks（派拓網(wǎng)絡）威脅情報團隊Unit 42的研究人員分析了120萬個包含與COVID－19疫情相關關鍵字的新注冊域名（NRD）。如圖1所示，超過86，600個域名屬于“危險”或“惡意”域名，遍布全球各個地區(qū)。美國的惡意域名數(shù)量最多（29，007個），其次是意大利（2，877個）、德國（2，564個）和俄羅斯（2，456個）。中國內(nèi)地和香港則共計有931個惡意域名。

Unit 42的研究人員發(fā)現(xiàn)，超過56，200個新注冊域名由四大云服務提供商（CSP）托管，包括亞馬遜云（70．1％）、谷歌云（24．6％）、微軟云（5．3％）及阿里云（＜0．1％）。

在研究過程中，我們注意到一些惡意域名有多個IP地址，而某些IP地址與多個域名有關聯(lián)。內(nèi)容交付網(wǎng)絡（CDN）的使用讓這種多對多映射經(jīng)常出現(xiàn)在云環(huán)境中，并且會使基于IP的防火墻失效。此次研究的一些重要發(fā)現(xiàn)包括：

●平均每天有1，767個與COVID－19相關的惡意域名創(chuàng)建。

●86，600多個域名中，2，829個公有云中托管的域名屬于危險或惡意域名

○亞馬遜云托管79．2％

○谷歌云托管14．6％

○微軟云托管5．9％

○阿里云托管0．3％

●不法之徒一直掩蓋惡意活動，例如進行網(wǎng)絡釣魚以及在云端傳遞惡意軟件。

●更高的價格和更嚴格的篩選／監(jiān)控流程可減少攻擊者在公有云中托管惡意域名的現(xiàn)象。

惡意攻擊者利用云資源來逃避檢測并擴大攻擊規(guī)模，令來自云端的威脅更難防御。企業(yè)需要具備云原生安全平臺和更高級的應用感知防火墻，以保護其環(huán)境。Palo Alto Networks（派拓網(wǎng)絡）將持續(xù)監(jiān)控新注冊的惡意域名。Prisma Cloud和VM系列都在云環(huán)境中提供了第7層防火墻功能，以防止來自這些域名的惡意活動。

圖1． 七周內(nèi)與COVID－19相關的惡意域名注冊量超過8．66萬個

結論

網(wǎng)絡威脅正在迅速演變，并利用現(xiàn)實事件欺騙受害者。隨著COVID－19疫情導致云應用的激增，我們觀察到不僅有針對云用戶的攻擊，還有來自云端的威脅。每天都有成千上萬的惡意域名上線，而云托管的應用和服務與非云端點面臨相同的威脅，因此必須通過持續(xù)監(jiān)控和自動威脅防護工具來保護每個端點。多云工作環(huán)境讓這個問題變得更加復雜。由于云管理的復雜性，用戶錯誤配置導致的安全事故頻發(fā)。云原生安全平臺（CNSP）可幫助企業(yè)跨多個云提供商、工作負載和混合云環(huán)境進行監(jiān)控并保護資源。

Palo Alto Networks（派拓網(wǎng)絡）客戶可通過以下產(chǎn)品免受這些威脅侵害：

●Prisma Cloud

●VM系列

●Palo Alto Networks（派拓網(wǎng)絡）URL過濾