近幾年來民眾上網的頻率提高,停留在網站上的時間也拉長,在網路上的行為也相形多元,除了資料查詢、網路購物、參與社群等等。 一直以來,各式形形色色的網站總是來來去去,許多網站您可能瀏覽過但不記得。但是,很有可能惡意攻擊的魔鬼就在隱藏在裡面。
根據Blue Coat 安全研究中心最近針對網際網路的主機名稱,進行了一系列研究。其中一項研究中,計算出90天之內被全球呼叫的主機,發現找到多達6.6億個獨立主機名稱(大約每10.6個人就有一個主機名稱)。更進一步發現其中有許多主機只存活一天,我們稱之為「一日網站」(one-day wonders)。這些一日網站,有很多可能會是惡意攻擊的活動跳板。
在研究中,高達71%(約4.7億個)主機的存在時間短到只有一天(圖一)。雖然網站和服務增加速度超快是眾所周知的,不過網際網路本來就是高度分散的特性,但這個結果比例卻偏高。值得大家多加留意。
圖一
這些網站是否真的存在?那些來源會不會是一些,像名稱拼錯或未配發的主機所發出來的無效呼叫? 研究中心推測這些可能是隨機產生的主機名稱,目的是用來控制全球數百萬台受感染的電腦(或稱傀儡電腦、僵屍電腦)。而在進一步分析資料後,研究中心發現,一日網站之所以會受駭客們歡迎,可能的原因是可讓資安解決方案疲於奔命、令資安解決方案難以招架以及藉此規避資安解決方案。
一日網站主要的活動地帶
主機名稱可以是以數字呈現的IP位址,或是透過文字呈現的網域名稱(或子網域名稱)。研究中心觀察到的一日網站IP位址,總數約為3.05億個,其中有將近1.64億台直接以IP作為主機名稱(平均一天有180萬台),而這些IP位址數量雖多,但分析後發現這些IP僅占了網際網路上約5%,且多半來自於短期租借的IPv4地址,因此可以推知這些一日網站的情況,主要發生在網域和子網域名稱。
我們仔細研究這些主機的頂層網域名(Top-Level Domain, TLD),像是.com、.net,或是.org、……等等,發現到這些網域發生在「.com」的比例,是所有其他TLD總和的2.5倍。 進一步的新發現(見下表圖二)。在表格內可以看到,用來架設一日網站的子網域中,用最多的是Google的網域,囊括比例近半。內容傳遞網路(Content Delivery Network, CDN)也用得不少,其中情色網站xvideos.com高居榜上第7名。雖然多數短期網域是作為合法用途,但也有不少的被用來進行惡意或不法行為。
圖二
惡意網域難以捉摸
駭客喜歡建立惡意網域。這些稍縱即逝的網域是發動大規模攻擊的重要基地,讓傀儡電腦很容易連上傀儡網路,駭客也能輕易操控整個網路。對駭客來說,一日網站的用途,包括建立易於擴充又難以追查的動態指揮控制(Command and Control, C&C)架構,也可架設獨立子網域來發動郵件攻擊,並藉此規避郵件或網頁過濾防護機制。檢視50大主網域,我們發現存在惡意網站的10大主網域中,只有2個遭到移除。而50大網域還有10個類似的主網域都被當成動態指揮控制的大本營。
網際網路上的網站數量如潮汐般高高低低,但可預見將來,這類新興而不為人所知的網站建立與消失都相當迅速的一日網站,足以顛覆許多現在的安全控管。瞭解這些類網站的本質,以及它們被利用的情形,是強化安全防禦工事的關鍵。
<本文筆者Tim van der Horst任職於Blue Coat Systems資深威脅研究員>
<本文顧問諮詢 曾良駿 先生任職於Blue Coat Systems台灣區技術總監>