COVID-19雲端威脅概況

自2020年3月9日到2020年4月26日七週期間，威脅情報團隊Unit 42分析了120萬個包含新冠肺炎大流行相關字眼的新註冊域名。當中逾86,600個屬「危險」或「惡意」域名，遍佈全球。

美國的惡意新域名數量最多（29,007），其次是意大利（2,877）、德國（2,564）和俄羅斯（2,456）。香港和中國內地合共有931個相關惡意新域名。

Unit 42研究人員亦發現，超過56,200個新註冊域名設置於四個雲端服務，包括Amazon Web Services（70.1%）、Google Cloud Platform（24.6%）、Microsoft Azure（5.3%）及阿里雲（<0.1%）。

一些惡意域名有多個IP地址，而某些IP地址與多個域名有關聯。由於使用了內容傳遞網路（content delivery network），這種多對多對應通常在雲端環境發生，並會使基於IP的防火牆失效。

是次研究的部份重要發現如下：

• 每天平均有1,767個與新冠肺炎相關的域名建立。
• 86,600多個域名中，2,829個設置於公有雲的域名屬危險或惡意

○     79.2% 設於AWS

○     14.6% 設於GCP

○     5.9% 設於Azure

○     0.3% 設於阿里雲

• 不法之徒一直掩飾惡意活動，例如進行網絡釣魚及在雲端發放惡意軟件。
• 更高的價格和更嚴格的篩選/監控程序有助降低攻擊者在公共雲設置惡意域名的意欲。

惡意攻擊者利用雲端資源避開檢測和擴大攻擊規模，令來自雲端的威脅可能更難防禦。機構需要具備雲端原生的安全平台及更進階的應用程式感知防火牆，來確保企業環境安全。

Palo Alto Networks將持續監察新註冊的惡意域名。Prisma Cloud和VM-Series都在雲端環境中提供了第七層防火牆功能，以防止來自這些域名的惡意行為。

圖1. 七週內有86,600多個COVID-19相關的惡意域名註冊

如欲了解是次研究的更多詳情，請瀏覽此網誌全文。