新闻详情

权威发布 | 2023年ZDNS域名安全防护年报

127
发表时间:2024-02-20 11:14
图片


本报告为ZDNS独家发布,未经允许谢绝转载


引言


作为互联网的重要基础设施之一,DNS发挥着不可替代的作用,它像一个高效、准确的“导航系统”指引着互联网的流畅运行。


由于DNS在网络中的关键地位,一旦其受到攻击,将给企业带来巨大的损失。IDC报告显示,90%的企业曾遭受过DNS攻击,单次损失高达110万美元。近年来,政务、教育、金融、医疗、交通等行业密集出台相关政策,鼓励并督促各行业完善网络安全防护措施和运行维护体系,市场上多种基于DNS的安全防护产品应运而起。


ZDNS Safeguard凭借自研解析引擎“Maple”的核心技术及“云边协同”的产品体系,在主动拦截、威胁溯源、安全上网等场景赢得市场广泛好评。


图片



年度安全防护分析


2023年,ZDNS Safeguard共检测到威胁请求66亿次,主要集中在数字货币和恶意软件两种类别中。


图片

恶意软件种类繁多,它们通过各种手段感染用户设备,窃取个人信息、破坏系统文件……最新统计数据显示,超过9成的恶意软件,都在利用受害者的计算资源进行挖矿活动。通过威胁溯源,我们发现大量与挖矿相关的域名最终都指向门罗币的挖掘和交易。


门罗币是一种以创始人查德·门罗名字命名的数字货币,相较于比特币去中心化和高扩展性的特点,门罗币更注重隐私保护和交易安全,因此在非法活动和地下交易中被广泛使用。


在对门罗币的挖掘过程中,各组织可谓是各显神通。8220组织利用反序列化、未授权访问等漏洞攻击Windows和Linux服务器,随后下载挖矿程序使主机进行挖矿活动。僵尸网络家族Rapper变种通过下发shell脚本文件,在攻击者的服务器中下载xmrig进行挖矿,为了彻底压榨CPU资源,挖矿前该脚本还会根据CPU支持的线程数设置最大内存页。除此之外,还有通过SSH弱口令暴力破解进入受害主机传播挖矿木马的yayaya Miner;通过将C&C域名伪装成aliyun相关域名,将受害者的设备变成挖矿机器的Rocke Group组织等。


但无论哪种攻击方式,攻击者都需要和受害主机建立通信,从而执行命令发送、数据传输、远程控制等操作。阻断通信就如同卡住了攻击者的“命门”。ZDNS Safeguard基于数字货币、恶意软件等典型场景,精准识别恶意域名,主动对威胁请求进行阻断,扼杀风险于摇篮中。


2023年,ZDNS Safeguard整体威胁识别率达99.9%。从统计数据来看,不同行业的威胁类型分布存在较大差异,这可能和行业特性、网络环境、用户习惯等因素有关。


图片
图片


教育行业面临的威胁风险来自数字货币的居多,这可能和用户群体的特殊性有关。以高校为例,通常来说,高校的网络规模大、用户数量多、设备数量多。一方面,在夜间、节假日等时间段,计算机教室、教职工办公室等地方,大量设备无人使用,这在一定程度上方便了攻击者。另一方面,高校的绝大部分用户是学生,相较教职工而言,他们的安全意识更弱,更容易被卷入数字货币相关骗局中。


对高校来说,除了守住网络入口的DNS安全外,还需要针对各校特殊情况配置个性化防护策略,如工业类高校可能需要对工业控制系统、自动化系统、机器人等领域的恶意域名做重点防护。高校可以通过创建私有威胁情报库、配置专属威胁拦截页面等方式,让防护更细致更贴心;此外,ZDNS Safeguard近期推出的外链诊断工具,能够确保潜在风险无处可遁。


图片


和教育行业不同,企业所面临的威胁主要来自恶意网站,恶意网站通常以欺骗用户、窃取信息、传播恶意软件或进行其他非法活动为目的。对企业来说,错综复杂的网络,类型多样的设备、不同地域的用户、漏洞频出的应用,甚至企业的供应链、合作伙伴,都是潜在的风险点。更重要的是,相较于金融、政府、教育等行业来说,企业对网络安全的认知和重视程度相对较低,缺乏完善的安全管理制度和专业的技术人员已是常态。因此,对企业来说,选择高可用、广覆盖、低维护的安全产品尤为重要。


ZDNS Safeguard提供的IPv4/IPv6双栈解析搭配DoH/DoT技术,让用户无论身处何种网络环境,都能享受顺畅、安全的网络体验。此外,ZDNS Safeguard在终端支持代理转发器/Agent的安装方式、在云端支持DDI设备联动,让企业对每一台接入设备都“了如指掌”。


图片



安全典型事件回顾


【Safeguard助力高校精准溯源】


2023年7月21日,某高校网络信息中心,工作人员在日常监控中发现,计算机学院301实验室出现异常网络负载。受外部因素影响,工作人员并未立即处理或上报。

22日,该校收到上级网安部门的告警通知,某IP访问了某威胁域名,该校被要求2小时内对问题IP进行处理,并上报处置结果。工作人员对该IP(301实验室的出网IP)进行手工封堵,并尝试联系实验室负责人进行威胁排查,但由于种种原因,未能联系上,301断网。


24日,302和303实验室的网络负载也出现异常,同时再次收到告警通知,302、303断网。受制于实验室相关管理条例,工作人员无法直接对相关设备进行扫描查杀,问题无法定位、网络未能恢复。碰巧,ZDNS售后服务人员当天在该校例行巡检DDI设备。售后人员了解相关情况后,协助该校工作人员完成ZDNS Safeguard服务的申请、接入、配置。301、302、303网络恢复,负载降至正常水平。


25日,ZDNS协助该校工作人员完成威胁溯源分析。通过态势监控、威胁溯源等功能,观察到发起威胁请求的终端分布较分散,但请求的威胁域名主要集中在数字货币、恶意软件、C&C节点这3种类别中。初步判断,该校实验室的某些设备可能被恶意组织利用,通过C&C节点的控制命令,被动进行挖矿活动。根据终端溯源信息,工作人员对威胁终端进行查杀。


ZDNS Safeguard能对所有威胁“一视同仁”、“一网打尽”,在威胁事件发生前主动阻断,并能够根据威胁日志完成对终端设备和威胁域名的溯源,显著降低运维压力。


【Safeguard助力零售企业快速接入】


某零售企业投入重金备战线下双十一,从十月中旬就开始通过派发传单、投放电梯广告等方式进行预热。


2023年11月2日,该企业被勒索,17个G的财务数据被恶意加密。此时距离双十一不足十天,企业如遭重击。


某厂商介入,花费近2天时间对被加密的数据进行恢复。


该企业意识到,亡羊补牢,犹未晚也。但由于该企业分布在各个城市各种规模的卖场有近百个,其中还涉及大量运行Windows7、Windows XP的设备,时间上根本来不及挨个去排查隐患。运维人员四处寻求解决方案,ZDNS最先响应。


11月4日,2个卖场接入ZDNS Safeguard进行测试。11月6日晚,企业将所有门店全接入ZDNS Safeguard,纳入统一监管、统一防护。


最终,平稳度过双十一。


据公开资料显示,通过漏洞发起的勒索攻击占所有攻击的87.7%。由于Windows7、Windows XP等老旧系统存在大量无法及时修复的漏洞,仍在使用这些系统的企业成了重灾区。防护困难的原因之一在于,部分安全厂商的产品通常更关注Windows7及以上的操作系统,对于更老的系统,企业往往心有余而力不足。


ZDNS Safeguard从根源上解决了这个问题,无关乎操作系统或应用软件,支持出网IP、代理转发器、终端Agent等多种方式快速接入,只要发起DNS请求,Safeguard就能实时检测,并阻断威胁请求,彻底杜绝数字资产和恶意组织建立联系。



总结


网络安全是由多方面、多层次、多要素构成的复杂体系。随着相关技术的发展,攻击手段正变得越来越复杂、越来越隐蔽,同时攻击目标不断呈现多元化和细分化趋势,这使得企业或组织在政策、技术、人员、预算等方面很难面面俱到。


ZDNS Safeguard专注于DNS服务,牢牢把守互联网入口,以“四两拨千斤”的方式,为用户提供内网安全、互联网安全、终端溯源等场景下的优质服务。


图片


未来,ZDNS Safeguard将为您提供更高效、更智能的DNS安全防护解决方案。



_______________
_______________
_______________
_______________
ZDNS
核心网络设备
ZDNS Cloud
顶级域名
友情互联:
_______________________________________________________________________________________________________________________________
邮箱:support@zdns.cn
7*24小时客户服务
咨询电话:400-6688-876
标签:
请输入要描述的内容进行内容补充 请输入要描述的内容
01
03
请输入要描述的内容进行内容补充 请输入要描述的内容
_______________________________________________________________________________________________________________________________
互联网域名系统北京市工程研究中心有限公司 版权所有 © 2022 
官方微信
DDI网络核心服务
顶级域名申请
IP 地址管理
DNS 安全
智能 DNS
域名资质
两地三中心
流量调度
DNS 云解析
新顶级域直通车
________________________________________________________________________________________________________________________________