曹乙帆長久以來,Web 攻擊一直是惡意攻擊者歷久不衰的最愛,Web 安全防護技術推陳出新的同時,駭客也在不斷尋求能規避各種安全偵測機制的新興 Web 攻擊手法。其中,不斷激增的「一日網站」與 TLD 已經成為網路駭客與網路犯罪者的溫床。資安方案商 Blue Coat 便是從「一日網站」奇特景象的研究,而率先揭露全球 10 大 TLD 有超過 95% 已淪為「網路暗黑惡鄰」的令人擔憂狀況。
本文目錄
前 10 大危險 TLD 內含超過 95% 的高風險可疑網站
Blue Coat 大中華區技術總監曾良駿根據該公司安全實驗室 (Security Labs) 進行的「一日網站」研究報告指出,在為期 90 天針對 6.6 億個獨特子網域主機名稱進行分析發現,竟然有高達 71% 共 4.7 億個獨特主機名稱網站只存在 24 小時(或以內)就消失了。不論如何,如此短命的網站,其背後成立的動機與理由難免啟人疑竇。對此,Blue Coat 進一步針對這些網站的上層網域進行分析,結果前 50 大上層網域中竟有 11 個被判定為惡意,比例高達 22% 。
在「一日網站」研究的基礎下,Blue Coat 進一步發佈《網路最暗黑惡鄰》(The Web’s Shadiest Neighborhoods) 研究報告,該報告是針對 1.5 萬家企業客戶、 7,500 多萬名使用者,以及數以億計網頁請求資料製作而成,並根據垃圾郵件、網路詐騙、可疑行為、可能垃圾軟體 (Potentially Unwanted Software, PUS) 散佈、惡意軟體、殭屍網路與網路釣魚等惡意行為的狀況與程度,來進行 TLD「暗黑度」的評比。
該報告顯示,前 10 大危險 TLD 所內含的可疑網站比例全都超過 95%,其中.ZIP 與.review 前兩大 TLD 旗下可疑網站比例高達 100%,甚至連第 10 大的.link TLD 的可疑網站比例都高達 96.98%,由此可見,這些 TLD 旗下網站大都充斥著前述垃圾郵件/軟體散佈、網路詐騙攻擊、惡意軟體下載,以及殭屍網路與網路釣魚攻擊等惡意行為。「所以使用者必須檢視 URL 中是否包含前 10 大 TLD 名稱,如果有的話,務必停止進一步存取的動作,以免遭受不必要的安全風險,」曾良駿提醒指出。
爆炸性成長的 TLD 導致無限多高風險之一日網站出現
早期常見 TLD,除了.com 、.edu 、.gov 、.mil 、.net 及.org 等 6 大 TLD 外,就是.tw 、.jp 等國碼網域。隨著指定名稱與號碼網際網路公司 (ICANN) 為了讓更多公私組織能夠選擇登錄自己專屬的 TLD 網域,而在 2012 年推出全新第三種 TLD-新通用頂級網域 (gTLDs) 推動計畫以來,TLD 便呈現爆炸性的持續成長,這點可從 2015 年八月中旬全球 TLD 數已突破 1,000 大關的可怕數值看出。
曾良駿分析指出:「爆炸性成長的 TLD,將能提供幾近於無限多的一日網站,自然成為網路駭客與犯罪者大加利用的溫床。」總之獨特新 gTLD 註冊申請的便利性,加速了 TLD 的爆炸性成長,間接帶動無限量一日網站的發展,也讓當前網路安全變得更加複雜。在 Blue Coat「一日網站」的研究報告中便透露,這些短命網站不是色情網站或釣魚網站,就是專門從事垃圾郵件發佈或殭屍惡意程式下載的勾當,透過不到 24 小時的短命特性,便能在安全防禦機制更新之前,搶先規避被偵測的可能性。如今激增的 TLD 與一日網站規避模式的結合,讓 Web 攻擊者更加如魚得水。
事先檢視排除高風險 TLD 成為一勞永逸的 Web 安全評斷機制
面對 Web 安全,Blue Coat 透過自家先進威脅生命週期防禦 (Advanced Threat Lifecycle Defense) 解決方案來加以因應,該方案根據來自 1.5 萬家客戶與 7,500 萬名使用者,能在第一階段針對不同事件生命週期防禦階段的區域與全球最新威脅情報共享,來全面強化包括 Blue Coat 安全網路閘道器 (WSG) 、惡意軟體掃描與白名單等內容分析系統 (Content Analysis System) 與 SSL 可見度設備 (SSL Visibility Appliance) 等安全基礎設施的整體防禦能力,進而提供持續運作的閘道端及雲端已知威脅阻斷防護。
緊接著,該方案可將 Blue Coat 內容分析系統、 Solera ThreatBLADES 及惡意程式分析設備,與事先整合好之 IPS 、 NGFW 、 SIEM 及沙箱等企業既有安全機制,共同組成全面性旳縱深防禦機制與安全分析平台,後者可提供前者額外分析的資訊,前者可以提供後者回應各種安全事件的決策參考,進而實現有效阻擋未知事件擴散的事件制止與事件解析作用與目標。該方案同時能藉由更少的惡意程式掃描,來提供系統整體效能表現,以及更少的誤報來提供更強固的零時差威脅分析能力。
「除了先進威脅生命週期防禦之外,Blue Coat 是全球第一個從 TLD 安全性的角度來檢視並防禦 Web 安全的安全方案商。透過高風險 TLD 的事先檢視與排除,不失為確保 Web 安全的最一勞永逸做法,」曾良駿總結指出。