正是由于不法分子經(jīng)常利用這些話(huà)題來(lái)進(jìn)行惡意活動(dòng)，Unit 42的研究人員密切監測了派拓網(wǎng)絡(luò )客戶(hù)對熱門(mén)話(huà)題及與這些話(huà)題相關(guān)的新注冊域名的關(guān)注度，以保護用戶(hù)安全。

　　通過(guò)使用谷歌趨勢工具和我們的流量日志發(fā)現，用戶(hù)對新冠病毒相關(guān)話(huà)題的關(guān)注度爆增，且在2020年1月底、2月底和3月中旬達到高峰。

　　同時(shí)，隨著(zhù)用戶(hù)關(guān)注度的上升，從2月到3月，與新冠病毒相關(guān)的域名注冊量日均增長(cháng)656%。在此期間，惡意注冊域名增長(cháng)569%，包括惡意軟件和網(wǎng)絡(luò )釣魚(yú)；“高風(fēng)險”域名注冊增長(cháng)788%，包括欺詐、非法加密貨幣挖掘，以及與惡意網(wǎng)址有所關(guān)聯(lián)或涉嫌使用防彈主機托管的域名。

　　截至3月底，我們已發(fā)現116,357個(gè)與新冠病毒相關(guān)的新注冊域名，其中包括2,022個(gè)惡意域名和40,261個(gè)“高風(fēng)險”域名。

　　我們根據域名的Whois信息、DNS記錄和屏幕截圖（由我們的自動(dòng)抓取工具收集）對這些域名進(jìn)行聚類(lèi)分析，以檢測注冊活動(dòng)。我們發(fā)現，許多域名被惡意注冊并轉售牟利，且其中很大一部分被用于眾所周知的惡意活動(dòng)，并用于欺詐店鋪銷(xiāo)售短缺商品。

　　其他惡意濫用新冠病毒熱點(diǎn)的傳統方式還包括：域名托管惡意軟件、釣魚(yú)網(wǎng)站、欺詐網(wǎng)站、惡意廣告、加密貨幣挖礦，以及用于提升不法網(wǎng)站搜索排名的黑帽搜索引擎優(yōu)化（SEO）。我們檢測到，許多使用新注冊域名的網(wǎng)店不僅試圖欺騙用戶(hù)，其中還出現了一個(gè)尤為卑鄙的域名集群，它利用用戶(hù)對新冠病毒的恐懼來(lái)進(jìn)一步恐嚇他們購買(mǎi)其產(chǎn)品。此外，我們還發(fā)現了一組以新冠病毒為主題的域名，它們現在使用高風(fēng)險JavaScript提供托管網(wǎng)頁(yè)服務(wù)，而這些JavaScript可能隨時(shí)會(huì )將用戶(hù)重定向到惡意內容。

　　不幸的是，總是會(huì )有網(wǎng)絡(luò )犯罪分子在人們的恐懼加劇時(shí)，在地區、國家和全球事件中試圖傷害人們。當災難性事件發(fā)生時(shí)，我們一次次地觀(guān)察到這種行為，網(wǎng)絡(luò )犯罪分子開(kāi)始圍困受害者。遺憾的是，我們認為這種剝削性行為不會(huì )很快消失。

　　人們應該高度懷疑任何帶有COVID-19主題的電子郵件或新注冊的網(wǎng)站，無(wú)論他們聲稱(chēng)擁有信息、測試工具還是治療方法。應該特別注意檢查域名的合法性和安全性，例如確保域名是合法域名（google [.] com與g00gle [.] com），并且在瀏覽器的地址欄左側有一個(gè)“鎖”的圖標，確保有效的HTTPS連接。

　　對于任何以COVID-19為主題的電子郵件，都應采取類(lèi)似的措施-查看發(fā)件人的電子郵件地址通常會(huì )發(fā)現該內容可能不合法，因為收件人可能不知道其內容，拼寫(xiě)錯誤或長(cháng)度可疑且帶有隨機出現的字符。

　　為了保護用戶(hù)免受網(wǎng)絡(luò )罪犯分子的侵害，Palo Alto Network（派拓網(wǎng)絡(luò )）關(guān)于URL過(guò)濾的最佳建議是禁止訪(fǎng)問(wèn)“新注冊域名”類(lèi)別。然而，如果您不能阻止對“新注冊域名”類(lèi)別的訪(fǎng)問(wèn)，則我們的建議是對這些網(wǎng)址強制實(shí)施SSL解密以提高其可視性，阻止用戶(hù)下載諸如PowerShell和可執行文件之類(lèi)的危險文件類(lèi)型，應用更嚴格的威脅防護策略，并在訪(fǎng)問(wèn)新注冊域名時(shí)增加日志記錄。我們還建議使用DNS層保護，因為我們知道超過(guò)80％的惡意軟件都使用DNS建立C2。

　　關(guān)于全文版中特別提到的威脅和入侵指標（IOC），在Palo Alto Networks（派拓網(wǎng)絡(luò )）技術(shù)棧內已采取了以下步驟來(lái)確保達到最佳的檢測和預防機制：

　　由于冠狀病毒爆發(fā)的突然性，許多員工正在自我隔離并在家辦公。盡管企業(yè)一直通過(guò)VPN連接為員工提供安全訪(fǎng)問(wèn)，但是需要安全訪(fǎng)問(wèn)的員工數量卻是前所未有的，并且需要額外的資源和容量。

　　Palo Alto Networks（派拓網(wǎng)絡(luò )）的云端安全訪(fǎng)問(wèn)服務(wù)邊緣（SASE）平臺Prisma Access，可為遠程辦公室和移動(dòng)用戶(hù)提供統一的策略實(shí)施和安全性，并將隨著(zhù)業(yè)務(wù)需求的發(fā)展而調整規模。

　　要了解有關(guān)Palo Alto Networks（派拓網(wǎng)絡(luò )）如何幫助您的遠程員工的更多信息，請在此處查看我們的資源，并查看Nir Zuk的網(wǎng)絡(luò )廣播 ，了解如何實(shí)現業(yè)務(wù)連續性。

　　有關(guān)此次研究的更多信息，請訪(fǎng)問(wèn) https://unit42.paloaltonetworks.com/how-cybercriminals-prey-on-the-covid-19-pandemic/閱讀全文。

　　作為全球網(wǎng)絡(luò )安全領(lǐng)導企業(yè)，Palo Alto Networks（派拓網(wǎng)絡(luò )）正借助其先進(jìn)技術(shù)重塑著(zhù)以云為中心的未來(lái)社會(huì )，改變著(zhù)人類(lèi)和組織運作的方式。我們的使命是成為首選網(wǎng)絡(luò )安全伙伴，保護人們的數字生活方式。借助我們在人工智能、分析、自動(dòng)化與編排方面的持續性創(chuàng )新和突破，助力廣大客戶(hù)應對全球最為嚴重的安全挑戰。通過(guò)交付集成化平臺和推動(dòng)合作伙伴生態(tài)系統的不斷成長(cháng)，我們始終站在安全前沿，在云、網(wǎng)絡(luò )以及移動(dòng)設備方面為數以萬(wàn)計的組織保駕護航。我們的愿景是構建一個(gè)日益安全的世界。

　　Unit 42 是 Palo Alto Networks 旗下的全球威脅情報團隊，是網(wǎng)絡(luò )威脅防御領(lǐng)域公認的權威，全球多家企業(yè)及政府機構經(jīng)常向他們尋求幫助。我們的分析師是尋找和收集未知威脅以及使用代碼分析進(jìn)行完全逆向工程解析惡意軟件的專(zhuān)家。憑借這些專(zhuān)業(yè)知識，我們提供優(yōu)質(zhì)、深入的研究，以深入了解威脅執行者用來(lái)入侵組織的各種工具、技術(shù)和程序。我們的目標是盡可能提供背景信息，解釋攻擊的具體細節、攻擊的執行者及其原因，以便世界各地的安全人員可以洞悉威脅，從而更好地防御攻擊。