圖片來源: 

Blue Coat

近年來,不只是大型企業網站資料外洩事件頻傳,連政府也都履履因駭客入侵而導致大量政府內部資料外流,而這些攻擊手法往往無法事前察覺,得等到事件爆發後才曝了光。而其實類似滲透手法在網路上層出不窮,像是長年分析網路攻擊手法的Blue Coat臺灣區技術總監曾良駿也觀察到,近2年有越來越多駭客是採用以頂級網域(Top-Level Domain,TLD)來做為攻擊跳板,透過在一些管理鬆散TLD的網站來埋入惡意程式,進而長驅直入滲透企業或政府內部。

曾良駿也表示,這些因為TLD網域所產生的資安高風險,就在於駭客會在某個外表正常的網站植入惡意指令,只要受害者點開網站就會經由瀏覽器背景下重新指向到1個或多個含有TLD高風險的可疑網站,而一旦企業端的防毒軟體無法偵測到這些網站內的惡意程式,就有可能進而讓駭客滲透到企業內部植入木馬。

公布10大危險TLD網域名稱

Blue Coat在日前發布最新一份網路恐怖芳鄰(The Web's Shadiest Neighborhoods)資安報告中,從Blue Coat近2年多達2萬家企業客戶瀏覽的網頁資料當樣本,經過自家資料庫比對分析後,選出10個含有可疑網站比例最高的TLD網域為.zip、.review、.country、.kim、.cricket、.science、.work、.party、.gq,以及 .link。甚至當中使用.zip和.review這2個TLD網域來申請的網站,竟有高達百分之百的網站都被標識為可疑網站,而部份網站還隱藏著多種惡意程式。

曾良駿指出,截至目前為止,企業客戶只要到訪以上這10個高危險TLD網域申請的網站,多數都會被標識成幾種可疑網站類型,像是常見的垃圾活動(Spam)、詐騙活動、可疑活動,乃至網路釣魚(Phishing),甚至是在網站內埋入惡意程式,或是散布殭屍病毒等,來引誘受害者在不知不覺情況下上勾而被植入惡意程式。

此外,這10個含有高風險的TLD網域,有的是已經註冊存在一段時間,也有的是才剛申請使用沒多久。

曾良駿也指出,TLD網域近年來之所以逐漸成為駭客發動攻擊的媒介,主要和TLD網域數量逐年攀升有關。不同於早期常見幾個標準TLD網域名稱,例如.com、.net、.edu和.gov等,或是一些國碼的TLD,如日本的.jp或臺灣的.tw等,近幾年也開放加入更多來自各行各業的TLD網域申請,如. shop、.travel、.ads、.company等。

這些新增加的TLD網域在提供網站申請上,往往較為鬆散缺乏管理,因此,駭客很容易就能申請到這些TLD的網站,來做為發動攻擊的中間跳板。至今在網路已申請的有效TLD網域,已從早期不到100個,增加至多達1,000個。

曾良駿也建議,對於這些存有高資安風險的TLD網域,企業在第一道資安防線就可優先採取防護作為,包括了將這些被標識為可疑TLD等網域的流量封鎖,此外,對於含有這些TLD網域的網址連結也盡可能避免點選,另一方面,對於部分漏網TLD的可疑網站則可透過沙箱(SandBox)等資安工具來隔離進一步分析,找出這些惡意程式的新感染途徑,再藉此來更新防護機制。

2萬企業常遇危險網域Top10

1. .zip

2. .review

3. .country

4. .kim

5. .cricket

6. .science

7. .work

8. .party

9. .gq

10. .link

資料來源:Blue Coat,iThome整理,2015年9月


Advertisement

更多 iThome相關內容