研究人員發(fā)現(xiàn)了300多個(gè)以COVID-19為主題的惡意軟件樣本,這些樣本與20個(gè)獨(dú)立IP地址和域名入侵指標(biāo)(IOC)建立了通信。通過查詢Prisma Cloud在2020年3月1日至4月7日間與這20個(gè)可疑入侵指標(biāo)的網(wǎng)絡(luò)連接,研究人員發(fā)現(xiàn),27個(gè)獨(dú)立云環(huán)境中共有453,074個(gè)獨(dú)特網(wǎng)絡(luò)連接(參見圖1)。
- "超過45萬個(gè)云網(wǎng)絡(luò)連接中帶有COVID-19主題惡意軟件入侵指標(biāo)(IoC)
- "覆蓋27個(gè)獨(dú)立且存在潛在入侵風(fēng)險(xiǎn)的云環(huán)境
- "明確跡象表明,與執(zhí)行COVID-19主題惡意軟件相關(guān)的命令與控制(C2)操作的節(jié)點(diǎn)已建立通信
圖1:工作流程圖
由于研究人員無法查看網(wǎng)絡(luò)流量,也沒有收到曾發(fā)起網(wǎng)絡(luò)連接的惡意軟件樣本,因此目前還無法確定這27家企業(yè)機(jī)構(gòu)實(shí)際上是否已受到COVID-19主題惡意軟件攻擊。盡管如此,我們?nèi)詰?yīng)將這些網(wǎng)絡(luò)連接視為高度可疑,因?yàn)槟繕?biāo)端點(diǎn)有惡意軟件操作的歷史記錄。
結(jié)論
每家企業(yè)機(jī)構(gòu)都必須監(jiān)控其云基礎(chǔ)設(shè)施的網(wǎng)絡(luò)通信,以確保識(shí)別并阻止惡意通信,這一點(diǎn)至關(guān)重要。云原生安全平臺(tái)方案必須集成到云基礎(chǔ)設(shè)施、開發(fā)和生產(chǎn)環(huán)境中,以確保這些以COVID-19為主題的攻擊無法在云基礎(chǔ)設(shè)施中發(fā)生。
有關(guān)本次研究的更多細(xì)節(jié),請(qǐng)點(diǎn)擊此處瀏覽英文全文。
關(guān)于Palo Alto Networks(派拓網(wǎng)絡(luò))
作為全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè),Palo Alto Networks(派拓網(wǎng)絡(luò))正借助其先進(jìn)技術(shù)重塑著以云為中心的未來社會(huì),改變著人類和組織運(yùn)作的方式。我們的使命是成為首選網(wǎng)絡(luò)安全伙伴,保護(hù)人們的數(shù)字生活方式。借助我們?cè)谌斯ぶ悄堋⒎治、自?dòng)化與編排方面的持續(xù)性創(chuàng)新和突破,助力廣大客戶應(yīng)對(duì)全球最為嚴(yán)重的安全挑戰(zhàn)。通過交付集成化平臺(tái)和推動(dòng)合作伙伴生態(tài)系統(tǒng)的不斷成長(zhǎng),我們始終站在安全前沿,在云、網(wǎng)絡(luò)以及移動(dòng)設(shè)備方面為數(shù)以萬計(jì)的組織保駕護(hù)航。我們的愿景是構(gòu)建一個(gè)日益安全的世界。更多內(nèi)容,敬請(qǐng)登錄Palo Alto Networks(派拓網(wǎng)絡(luò))官網(wǎng)www.paloaltonetworks.com或中文網(wǎng)站www.paloaltonetworks.cn。
關(guān)于 Unit 42
Unit 42 是 Palo Alto Networks 旗下的全球威脅情報(bào)團(tuán)隊(duì),是網(wǎng)絡(luò)威脅防御領(lǐng)域公認(rèn)的權(quán)威,全球多家企業(yè)及政府機(jī)構(gòu)經(jīng)常向他們尋求幫助。我們的分析師是尋找和收集未知威脅以及使用代碼分析進(jìn)行完全逆向工程解析惡意軟件的專家。憑借這些專業(yè)知識(shí),我們提供優(yōu)質(zhì)、深入的研究,以深入了解威脅執(zhí)行者用來入侵組織的各種工具、技術(shù)和程序。我們的目標(biāo)是盡可能提供背景信息,解釋攻擊的具體細(xì)節(jié)、攻擊的執(zhí)行者及其原因,以便世界各地的安全人員可以洞悉威脅,從而更好地防御攻擊。
