2014年9月1日——業(yè)務(wù)保障技術(shù)領(lǐng)導(dǎo)廠商Blue Coat系統(tǒng)公司今天宣布，71%的網(wǎng)站主機(jī)名稱(Hostnames)僅僅出現(xiàn)24個小時。雖然在這些被戲稱為“一日游”主機(jī)名稱當(dāng)中，絕大多數(shù)在互聯(lián)網(wǎng)內(nèi)容的分享和交付中起了重要的作用，但它們也為惡意活動提供了掩護(hù)，例如——與已感染系統(tǒng)的通信。Blue Coat安全實(shí)驗(yàn)室發(fā)布了最新報告《“一日游”主機(jī)：惡意軟件如何在短命網(wǎng)站中隱藏自己》，其中詳細(xì)說明了這些“短命”網(wǎng)站的本質(zhì)和活動，幫助我們更好地了解那些存在時間不超過24小時的網(wǎng)站對安全的潛在影響。

“一日游”網(wǎng)站最大的推手包括谷歌、亞馬遜和雅虎等一些重要的互聯(lián)網(wǎng)公司，以及幫助加速內(nèi)容交付的網(wǎng)站優(yōu)化公司。Blue Coat還發(fā)現(xiàn)，“一日游”網(wǎng)站10大推手中有一個是最流行的色情網(wǎng)站。

在那些最頻繁地使用“一日游”網(wǎng)站的50大父域名中，22%是惡意的。這些域名使用短命網(wǎng)站來推動攻擊并管理僵尸網(wǎng)絡(luò)，利用“新知與未知”的網(wǎng)站來入侵安全解決方案。例如，“一日游”網(wǎng)站可用于建設(shè)動態(tài)的指揮控制架構(gòu)，它們可擴(kuò)展、難以攻擊并且易于實(shí)施。它們還可用于為每個垃圾郵件創(chuàng)造獨(dú)一無二的子域名，以避免被垃圾郵件或網(wǎng)絡(luò)過濾器檢測到。

Blue Coat系統(tǒng)公司高級威脅研究員Tim van der Horst表示：“雖然大多數(shù)‘一日游’網(wǎng)站對于合法的互聯(lián)網(wǎng)活動至關(guān)重要并且不是惡意的，但大量此類網(wǎng)站為惡意活動創(chuàng)造了完美的環(huán)境。新知與未知網(wǎng)站的快速建設(shè)和消失動搖了很多現(xiàn)有的安全控制。理解這些網(wǎng)站是什么，以及它們?nèi)绾伪皇褂脤τ谔岣甙踩灾陵P(guān)重要。”

“一日游”網(wǎng)站在網(wǎng)絡(luò)罪犯中尤其流行，因?yàn)樗鼈儯?/p>

· 讓安全解決方案一直在猜測：動態(tài)域名比靜態(tài)域名更難阻止。

· 淹沒安全解決方案：產(chǎn)生大量域名，讓一定比例的域名更有可能被安全控件所忽視。

· 躲避安全解決方案：通過簡單地整合一日游網(wǎng)站和加密并通過SSL運(yùn)行入站惡意軟件和/或出站數(shù)據(jù)盜竊。企業(yè)通常會看不到攻擊，這樣會影響他們預(yù)防、檢測和做出響應(yīng)的能力。

隨著企業(yè)持續(xù)地抵御網(wǎng)絡(luò)攻擊，他們可以從中學(xué)到寶貴的經(jīng)驗(yàn)，進(jìn)一步加強(qiáng)安全性，包括：

· 安全控件必須獲得自動化的實(shí)時情報，可以發(fā)現(xiàn)這些“一日游”網(wǎng)站，并分配風(fēng)險級別。靜態(tài)或緩慢的防御不足以保護(hù)用戶和公司數(shù)據(jù)。

· 基于政策的安全控件必須能夠根據(jù)實(shí)時情報來阻止惡意攻擊。

Blue Coat的研究人員分析了7500萬全球用戶在90天內(nèi)訪問了超過6.6億個獨(dú)立主機(jī)名稱。他們發(fā)現(xiàn)，71%的主機(jī)名稱或者說4.7億是“一日游”網(wǎng)站，僅僅出現(xiàn)一天時間。

報告和信息圖

完整報告《一日游主機(jī)：惡意軟件如何在短命網(wǎng)站中隱藏自己》詳見： https://www.bluecoat.com/security-report-one-day-wonders