1、报 告2021可持续发展报告威 胁 报 告Akamai DNS 流量威胁报告 2022 年第一季度亮点2威胁形势概况3漏洞3事故3地缘政治和全球事件4Akamai 流量见解5按类别划分的攻击5网络钓鱼攻击6Akamai 网络安全聚焦7加密货币威胁新型威胁隐患7DNS 域名抢注警惕虚假域名9恶意 JavaScript见解与结论10防恶意软件解决方案面对 DNS 攻击时的脆弱性 12目录亮点Akamai 为世界各地的大型企业、中小型企业和互联网服务提供商提供递归域名系统(DNS)和 DNS 防火墙服务。我们的安全服务每天分析超过 7 万亿次 DNS 查询，并主动识别和阻止恶意软件、勒索软件、网络钓

2、鱼和僵尸网络等各种威胁。Akamai 也凭借这样的机会，获得了有关全球数亿用户产生的恶意和良性流量的非凡视野。我们基于这种广阔的视野，统揽各个行业、各个地理位置的运营商和企业安全服务的全球流量，并在 2022 年第一季度观察到如下主要亮点：在所监测的设备中，超过十分之一的比例至少与恶意软件、勒索软件、网络钓鱼以及命令和控制(C2)相关域通信过一次在所监测的设备中，有 9.3%至少曾与恶意软件或勒索软件相关域通信一次，24.6%曾与网络钓鱼相关域通信，0.7%曾与 C2 相关域通信进一步细分这些可能受到入侵的设备，其中 63%的设备曾与恶意软件或勒索软件相关域通信，31%的设备曾与网络钓鱼相关域

3、通信，4%曾与 C2 相关域通信深入探究网络钓鱼攻击流量后发现，大多数网络钓鱼攻击均通过滥用和模仿高科技(32%)与金融(31%)品牌的骗局锁定受害者威胁形势概况我们的研究团队反思了 2022 年第一季度发生的最重大、突出的攻击趋势和安全事件，着重关注了一些新兴漏洞和攻击、地缘政治和全球事件，以及它们对威胁形势的影响。漏洞在事件和漏洞方面，Log4Shell 漏洞在 2021 年第四季度末爆发，Spring4Shell 漏洞在 2022 年第一季度末爆发。这两个漏洞均被视为“严重”风险级别的远程代码执行(RCE)漏洞，大规模漏洞利用造成数百万台计算机受到影响。这两起事件均引起全行业的行动号召，

4、呼吁从业者积极采取行动，缓解并防御这些漏洞。这些漏洞再次突显了这样一个事实，只要有新的漏洞爆出，往往就会产生广泛影响，全球任何企业都有受波及的可能性，而且会进一步增加入侵风险。在这些事件中，许多供应商和个人通力协作，帮助缓解问题、修复漏洞，并发布相关工具来检测和应对这些漏洞，充分展现出我们整个行业的团结之力。事件在对手方面，Lapsus$犯罪团伙攻击了身份验证技术公司 Okta，造成数据泄露，Okta 有 2.5%的客户详细信息外泄，增加了这些客户受攻击的风险。Lapsus$攻击再次表明，企业防御链中最薄弱的环节仍有可能成为犯罪分子的可乘之机，也体现出制定适当的事件应对和披露措施的必要性。地缘

5、政治和全球事件在了解这些安全事件和漏洞之余，一些地缘政治和全球事件对 2022 年第一季度威胁形势的影响也不容忽视。首当其冲的就是俄乌冲突。毫无疑问，在这场冲突中，网络战也发挥着重要作用，其中就有分布式拒绝服务(DDoS)攻击的身影，许多政府认为这些攻击可能由俄罗斯发起，目的在于破坏乌克兰国防部和银行网站。有证据表明，存在一些针对军人和政府公职人员的网络钓鱼攻击，我们也看到了恶意数据擦除软件的不同变体，这种恶意软件在成功感染计算机后能擦除其中的数据，造成严重破坏。这些攻击的目标是位于乌克兰的系统，使用的恶意软件据信与俄罗斯有关。还有一些证据和报告表明，亲乌克兰的去中心化黑客活动家（例如 Ano

6、nymou 和乌克兰的 IT Army）将继续针对俄罗斯的媒体、银行、电网和铁路系统等网站发起 DDoS 攻击。从 2021 年起一直未曾平息的其他趋势包括新冠疫情相关骗局，攻击者迄今依然在利用这类手法。世界各地的人们都在逐渐恢复正常生活，但利用大众对新冠疫情的恐慌情绪诱骗受害者的攻击依然具有很高的相关性，也依然是攻击者常用的方法。在 2022 年第一季度，勒索软件、恶意软件、供应链攻击以及针对加密货币服务发起的攻击（滥用加密货币相关情绪）继续势头强劲，属于高效、可利用的攻击媒介。Akamai 流量见解按类别划分的攻击凭借 Akamai 统揽不同行业、各个地理位置的运营商和企业流量的视野，我们

7、观察到，在 2022 年第一季度，我们所监测的设备中有 9.3%至少曾有一次尝试访问恶意软件相关域。这表明这些设备可能已被入侵。在网络钓鱼和 C2 方面，我们可以看到，24.6%的设备访问过网络钓鱼相关域，0.7%的设备访问过 C2 相关域。在可能被入侵的设备和不同的威胁类别中，我们可以看到有 64%的设备受恶意软件活动相关威胁影响，31%的设备受网络钓鱼相关威胁影响，5%的设备受 C2 相关威胁影响。访问与恶意软件相关的域并不代表这些设备必定已被入侵，但这充分表明，如果不能适当抵御威胁，潜在风险就会增加。另一方面，访问 C2 相关域表示相应设备很可能已被入侵，并且正在与 C2 服务器通信。与

8、访问恶意软件相关域的情况相比，访问 C2 相关域的情况较少（图 1），其原因通常就在于此。图 1：可能受到入侵的设备（按类别划分）恶意软件网络钓鱼C25%64%31%网络钓鱼攻击通过观察被网络钓鱼诈骗滥用和模仿的品牌（按品牌所属行业分类），我们可以看到高科技和金融品牌排名靠前，两者分别占 32%和 31%（图 2）。这样的比例并不令人意外，高科技和金融服务的被盗凭据在暗网市场上较为抢手，这加强了攻击者滥用这些行业的动机。仔细审视网络钓鱼攻击类别后，我们发现在威胁形势中，网络钓鱼攻击活动大多采用的手法就是重复使用网络钓鱼工具包（包括 Chalbhai 和 16Shop 等工具包）。这些结论与以往

9、的结论一致，即重新使用网络钓鱼工具包能让攻击者以更大的规模执行攻击活动，从而在威胁形势中形成压倒性优势，给防御方造成挑战。今年 2 月，我们观察到许多网络钓鱼诈骗企图利用大众对 2022 年冬季奥运会的兴趣，诱骗受害者点击恶意电子邮件链接。这不算什么出人意料的做法，因为攻击者常常会利用高曝光度全球或全国性活动，捏造更令人信服的骗局。图 2：网络钓鱼滥用的品牌（按行业划分）高科技 32%域名误植 12%奥运会8%金融 31%Chalbhai 攻击活动 1%网络钓鱼认知类活动6%媒体6%约会2%数字商务1%16Shop 1%Akamai 网络安全聚焦加密货币威胁新型威胁隐患过去几年间，加密货币和区

10、块链相关技术快速占据了公众视野，成为机构和个人投资者等各类群体广泛关注的主流话题。鉴于加密货币涉及到高额资金，网络犯罪分子迟早会利用日渐增加的相关活动，借加密货币的热潮创造新的手法，通过巧妙的骗局从受害者处牟利。攻击者会使用复杂的骗局诱使受害者主动奉上加密货币，或是窃取凭据以访问加密货币并将其据为己有，造成受害者几乎没有资源可以反击，并索回其被盗的加密货币。过去一年间，Akamai 威胁研究团队一直在跟踪部分加密货币相关骗局。我们发现，使用不同攻击技术（例如网络钓鱼、勒索软件、DDoS 敲诈和恶意软件）的加密货币相关攻击数量显著增加。根据我们的跟踪，滥用加密货币机构盗窃消费者凭据的网络钓鱼攻击

11、显著增加。2021 年，我们观察到冒充及滥用加密机构品牌的网络钓鱼诈骗增加了 50%（图 3）。这种增长可能源自攻击者的动机发生了变化，他们专门针对加密货币相关帐户，使用盗窃的凭据创建欺诈性交易，以便从中牟利。图 3：2021 年每季度针对加密货币机构的网络钓鱼诈骗网址数量季度2021 年第一季度080060040020002021 年第二季度2021 年第三季度2021 年第四季度这些网络钓鱼攻击不断发挥“创意”，在近期发布的研究中，我们跟踪的一些网络钓鱼攻击提供虚假的加密货币，诱使受害者主动奉上自己的加密货币。这种特殊的诈骗手法直接利用了受害者的恐惧：害怕错过在限定时

12、间内投资购买新的（尽管是假的）加密货币的机会。这种骗局利用最新的大众情绪，以及对加密货币投资风险承受能力不断提高的趋势，促使受害者在欺诈活动的第一阶段就主动泄露自己的凭据（图 4）。图 4：伪造的加密货币网络钓鱼网站根据我们的研究，攻击者仍然在利用各种规避技术，加大了发现骗局的难度。攻击者在热门社交网络上传播攻击活动，利用用户在与社交媒体内容互动时具有的那种毫无来由的信任感。根据我们对各种攻击活动的监测，98%的加密货币骗局受害者使用的是移动设备，按国家/地区划分，美国的目标受害者最多。根据 2021 年观察到的情况，我们预测在 2022 年的威胁形势中，仍将有许多恶意活动采用加密货币骗局。A

13、kamai 加密货币威胁相关研究扩展阅读：https:/ 域名抢注警惕虚假域名域名抢注是一种企图模仿某品牌域名的骗局，旨在混淆视听，期望借此欺骗潜在受害者，获得其信任。例如，攻击者可能利用 bank.co.这个域名来模仿 ，并且采用看似相同的网站外观。目前攻击者还在使用这类骗局的其他许多变体，包括误植域名、组合式域名仿冒(combosquatting)、域名级别仿冒(bitsquatting)、抢注、国际化域名(IDN)同形同义字仿冒(Internationalized Domain Name(IDN)Homograph squatting)，以及同音域名仿冒(soundsquatting)。

14、但域名抢注的所有这些变体和技术都存在一个共同的基本结果：滥用与某个品牌关联的域名，让潜在受害者相信自己所登陆的网站是合法网站，但这实际上并不是合法网站。根据 Akamai 研究，目前已记录的潜在恶意网站中，有超过 12 万个使用了域名抢注技术；最常用的技术是 IDN 同形同义字仿冒，几乎占所检测到的此类潜在恶意域名的 72%（图 5）。另一方面，在调查潜在恶意域名的流量时，我们可以看到，采用组合式域名仿冒技术的域名访问者人数领先，占到这部分流量中 50%以上的比例。图 5：按所用域名抢注技术划分的潜在恶意域名比例Akamai 域名抢注变体和技术相关研究扩展阅读：https:/ 同形同义字仿冒7

15、1.685%组合式域名仿冒26.703%同音域名仿冒 0.002%域名级别仿冒 0.294%域名误植 1.316%组合式域名仿冒 26.703%IDN 同形同义字仿冒71.685%恶意 JavaScript见解与结论JavaScript 是塑造和创建网站功能时最常用的客户端编程语言。它有助于创建交互式功能与特性，从而打造更具动感、更吸引人的最终用户体验。由于 JavaScript 的盛行程度以及受所有浏览器支持的特点，攻击者也在广泛滥用 JavaScript 作恶。恶意 JavaScript 的目的各有不同，从恶意软件感染（也称为恶意软件植入程序），到创建使用交互功能窃取用户登录凭据的网络钓鱼

16、网站。攻击者还借助使用数据窃取工具和 Magecart 式攻击所用的恶意代码注入技术，利用 JavaScript 窃取信用卡号等敏感信息。Akamai 近期的研究着重关注了网络犯罪分子创建恶意 JavaScript 所用的混淆技术，这些技术造成 JavaScript 代码无法读取、无法调试，从而加大了分析和检测的难度。研究报告中分析了 10,000 多个恶意 JavaScript 示例（所涵盖的威胁包括恶意软件植入程序、网络钓鱼页面、欺诈软件和加密挖矿恶意软件），并且发现受检样本中至少有 25%使用了 JavaScript 混淆技术来规避检测（图 6）。如此之高的文件比例表明，网络犯罪分子依然

17、在使用混淆技术，希望借此避过检测技术。图 6：经过混淆处理的 JavaScript恶意与 Alexa纯文本经过混淆处理恶意Alexa26%74%99.5%0.5%研究还表明，良性网站也会为合法代码使用混淆技术。在创建将经过混淆技术处理的JavaScript 代码分类为良性与恶意的方法时，这造成了重大挑战。为了应对这一难题，Akamai 研究团队构建了一个检测系统，使用机器学习和人工智能(AI)技术精准检测经过混淆处理的恶意 JavaScript 代码。Akamai 恶意 JavaScript 相关研究扩展阅读：https:/ DNS 攻击时的脆弱性防恶意软件代理也称为防病毒(AV)或端点检测和

18、响应(EDR)工具，通常会与其远程服务通信，以共享有关可疑文件的信息。这些远程服务会使用其手头的最新信息，对文件进行分类，并指示代理执行预先确定的操作（例如删除或隔离可疑文件）。在 Akamai 研究团队参与撰写的一篇研究论文中，作者从安全视角分析了防恶意软件代理与其服务之间的一种特定通信形式，所研究的通信完全通过不安全的 DNS 协议进行。通过分析大规模 DNS 流量，该研究确定了几种防恶意软件解决方案，它们似乎利用 DNS 请求传输敏感文件扫描信息，但通常没有任何额外保护措施，未能补偿 DNS 协议的不安全问题。因此，这些防恶意软件解决方案比较容易遭受 DNS 攻击。例如，如果有攻击者能够

19、篡改这些 DNS 查询，就能篡改经过扫描的文件的分类，而不必实际入侵执行扫描的设备。该研究展示了适用于其中至少三种防恶意软件解决方案的三种攻击，它们可能导致敏感信息外泄、防恶意软件代理实施不当行为，例如忽略所检测到的威胁。最后，该研究面向防恶意软件解决方案提供商推荐了一系列对策，以防范因使用 DNS 协议与服务通信而招致的攻击，并对这些对策做出了点评。有关防恶意软件解决方案脆弱性研究的扩展阅读：https:/ 支持并保护网络生活。全球众多颇具创新力的公司纷纷选择 Akamai 来提供安全的数字化体验，为数十亿人每天的生活、工作和娱乐提供助力。凭借全球企业信赖的大型边缘平台，Akamai 可使您

20、提供的应用程序、代码和体验更贴近用户，并使威胁远离用户。致谢名单术语本报告中使用了下述术语。作者编辑数据分析Or Katz Jim BlackBruce Van Nice Eliad KimhyGal Kochner术语含义恶意软件和勒索软件Akamai 已确定与恶意软件或勒索软件载荷的传输有关的域恶意软件类别较广，包括病毒、间谍软件、按键记录器、特洛伊木马和 Rootkit网络钓鱼Akamai 已确定与网络钓鱼活动有关的域；例如，模仿品牌的网页或者可能用于窃取用户登录凭据的登录页面命令和控制(C2)Akamai 已确定与 C2 服务器有关的域，用于与已被恶意软件入侵的设备通信，并控制这些设备本报告还深入探讨了加密货币诈骗、域名抢注攻击、恶意 JavaScript，以及防恶意软件解决方案在面对 DNS 攻击时的脆弱性。