惡意網路回收再利用縮短攻擊時程

2012 / 05 / 14

吳依恂

在2012的RSA資安大會上，Blue Coat提出惡意網路(Malnet)的概念，2011年初，Blue Coat Security Labs團隊首先發現這些惡意網路，Blue Coat北亞區資深產品行銷經理申強提到，透過初期的觀察，可以發現到一些可疑的子網路、IP位址和主機名稱不停的建置、擴散，初期可能並沒有攻擊行為，但可能會不停的更換IP位址、子網路。他說，過去惡意組織發動攻擊時會從無到有，建立一個惡意網路，約時120天左右，但就在近一年來Blue Coat的觀察發現，只要過去使用過的惡意子網路、IP位址等尚未被揭露，惡意組織就會拿來重複使用，縮短發動攻擊的時間，可能約莫一個月就可以發動攻擊。

Blue Coat台灣區技術總監曾良駿也說，除了過去既有的防毒引擎等，這層防護又是另外透過沙箱(sandbox)相關技術，在惡意網路在發動攻擊的前置階段，便辨識、追踪和主動封鎖，從而早期發現零時差攻擊的徵兆。

目前Blue Coat已發現的五大惡意網路有Shnakule、Glomyn、Cavka、Naargo及Cinbric，各自用不同的攻擊型態，如惡意郵件、色情網站來逐步擴增其惡意網路之勢力範圍，其中最大惡意網路為Shnakule，透過以上綜合手法，甚至包括偽防毒軟體的下載、賭博網站等。

blue coat 申強曾良駿 RSA 惡意網路 malware 惡意程式 botnet IP address subnet sandbox