想了解整體威脅環境可以從各種來源來收集資料。其中一種有用的做法是檢視命令和控制(C&C)伺服器的各種活動,像是用在殭屍網路、針對性攻擊,或是用在攻擊更廣泛目標的一般使用者。
我們可以結合各種威脅情報來源,包括了趨勢科技的主動式雲端截毒技術,進而一窺C&C伺服器的活動。(這些都可以在全球殭屍網路地圖上即時顯示)。以下的發現呈現出我們在整個2014年所收集的資料。我們可以看到C&C伺服器位置、端點位置,以及使用這些伺服器的惡意軟體家族。
那我們可以從這些數字中學到什麼?以及IT專業人士能夠幫忙減輕這類威脅嗎?
惡意軟體使用更多方法來確保伺服器通訊暢通
我們評量了最常用的惡意軟體家族,根據和這些惡意軟體家族相關的命令和控制伺服器數量來加以衡量。在所有的C&C伺服器活動中,以下是最常見的惡意軟體家族:
- CRILOCK
- RODECAP
- ZEUS
- FAKEAV
- BLADABINDI
而在APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊中,這是最常見的惡意軟體家族:
- DARKCOMET
- XTREME
- NJRAT
- GHOSTRAT
- START
從這些數字中可以看出一些趨勢:
- 像CRILOCK這樣利用網域生成演算法(DGA)的惡意軟體家族是很好的代表,凸顯出它們的普及程度。儘管其行為有所差異(加密勒索軟體或資料竊取),但是DGA很受歡迎,因為攻擊者只需要額外的少許精力就可以讓封鎖惡意網域變得更加困難。
- 受駭網站也是常見的C&C伺服器。ZeuS/ZBOT和RODECAP都會利用受駭網站作為C&C伺服器,而且它們兩個惡意軟體家族都會廣泛地利用此種特殊做法。
- 同樣地,免費網路代管服務供應商和動態IP重新導向服務也常被一些惡意軟體家族利用,像是NJRAT和DarkComet。
- 許多最初被用在針對性攻擊的遠端存取工具(RAT)現在也用在各種網路犯罪攻擊中。這顯示出這些遠端存取工具的供應量增加,以及註冊和設立C&C網域的低進入門檻。
綜合起來,這些發展顯示出攻擊者如何採用更多技術來試圖混淆其控制下的C&C伺服器。好讓對這些攻擊的鑑識分析變得更加困難,使得進行偵測和找出源頭產生問題。
伺服器所在位置
攻擊者企圖去混淆攻擊,讓透過C&C伺服器來找出攻擊幕後黑手變得十分困難。結果就是,想要只靠C&C伺服器位置來找出源頭並不可靠。必須獲得進一步的威脅情報才能夠真正做出結論。
我們對C&C伺服器位置的調查結果也反映了這一點:大多數C&C伺服器並非位在被視為網路犯罪避風港的國家。相反地,它們反映了廣泛的網路狀況:擁有豐富基礎設施去代管任何類型服務的國家深受網路犯罪份子歡迎。
表1、C&C伺服器位置(所有C&C活動)
表2、C&C伺服器位置(只包括針對性攻擊)
