[互联网现状]/安全性运营商洞察报告

2 0 1 8 年春

执行摘要

执行摘要 / 全球规模最大、最广受信任的云交付平台 Akamai 使用遍布全球的 Akamai Intelligent Platform™，每天处理数万亿次的互

联网事务。这让 Akamai 能够收集与宽带连接、云安全性和媒体交付有关指标的海量数据。我们撰写了《互联网现状》报告，使得

政府和企业可以利用该数据及其提供的见解来制定更加明智的战略决策。Akamai 根据此数据发布了《互联网现状》报告，重点关

注宽带连接和云安全性。

互联网现状 / 安全性：《2018 年春运营商洞察报告》重点关注来自 Akamai 全球基础设施的 DNS 数据，代表了全球多个不同团队

的调查结果。

企业影响 / 对各个组织和整个互联网的运行状况而言，数据共享和协作比以往任何时候都更重要。这并不仅仅意味着企业需要与

其他公司共享数据，也意味着企业之间需要相互协作，才能发现数据之中隐含的意义。在内部共享数据和在内部关联数据对于许

多组织来说已是一项挑战；在企业之间共享数据更是让问题变得异常复杂。

本报告重点阐述企业之间和企业内部的信息共享如何提供更多情报，打造更强健的互联网。本报告的特邀作者 — Megan Stifel（Silicon Harbor Consultants 首席执行官、美国国家安全委员会国际网络政策前主管）强调了数据共享和信任对于保护我们的系统

的重要性。

学会结合不同来源的数据并从其相互关系中搜集情报，是安全团队最重要的职责之一。本报告展现了 Akamai 报告的发展和演变，

及其如何集中全力收集整个组织的数据和情报，以更深入地了解我们所面临的威胁。我们建议各组织了解其自身环境，以更好地

解读当前可能未得到充分利用的数据流和情报。

图 X Mirai 命令和控制相关性，2018 年 1 月 23 日 21:00

0.94

0.97

0.950.99

0.990.93

0.92

0.93

0.94

0.94

0.95

0.95

0.96

0.94

0.97

0.97

0.910.93

0.93

0.92

0.93

0.97

0.97

0.98

0.98

0.98

0.98

0.98 0.98

0.94

0.99

1.00

1.00

ccc.snicker.ir.,1

picesboats.club.,1

0x01.nexusiotsolutions.net.,1

snicker.ir.,1

rootyi.site.,1

nexusaquariums.ir.,1

nullstress.pw.,1

deathlives.ddns.net.,1

suckmyass1983.ddns.net.,1

bigboatzarereppin.hopto.org.,1

编辑概述 / Akamai 的安全研究团队对过去六个月中超过 14 万亿次的 DNS 查询进行了分析，以便为我们的读者提供对恶意软

件、僵尸网络及每天攻击企业和个人的其他各类威胁的调查。

Loapi 僵尸网络家族突显了恶意软件日益增加的灵活性。与此同

时，可以看到由加密货币驱动的市场力量正在以相似的方式影响

企业和恶意软件作者。通过将我们的 DNS 数据与 Akamai 及其他

组织的更多调查相结合，可以更深入地了解 Mirai 僵尸网络及其

运作方式 — 对许多企业来说，这是一项持续性的工作。

有时候，这些威胁看似是静止的、恒久不变的、从不发展的。

但有时候，我们对手的能力似乎又取得了巨大的飞越，例如当 Mirai 僵尸网络刚刚问世的时候。但这些大都只是威胁形势中持

续发生的缓慢、逐渐性变化的最终结果所带来的错觉。只有通过

理解看似微小的变化，例如 Loapi 对模块化结构的改变，我们才

有机会预测更大的变化，例如 DDoS 对分布式缓存漏洞的迅速采

用。只有当我们闭目塞听，看不到幕后发生的一切时，演变看起

来才像是突然发生的。

14,000,000,000,0006 个月内分析的 DNS 查询

没有任何组织能够洞察一切并加以理解，即使是像 Akamai 这样

具有全球化网络的企业也不例外。只有将我们的情报结合在一

起，我们才能够看到促成飞跃的细微改变。

威胁跟踪 / 并非只有新威胁才会产生高昂的代价。在最近的报

告期内，我们检测到了两次恶意活动高峰。第一次是从 10 月 3 日到 11 月 1 日，受 Dorkbot 僵尸网络的命令和控制域流量的驱

动。僵尸网络已获得更新，利用了恶意软件作者开发的全新“域

生成算法”。

第二次活动高峰不是由特定僵尸网络驱动的。在这次高峰中，域

查找次数的增加是由于利用网络代理自动发现 (WPAD) 协议而引

起的。当暴露于互联网中时，WPAD 允许攻击者将代理配置文

件推送到暴露的系统中，以便对这些系统发动“中间人”攻击。

务必记住，并非所有威胁都是全球性的，这一点非常重要。我们

对本地化特征非常明显的五类威胁进行了追踪。其中一些僵尸网

络的攻击目标是特定的国家/地区，维护特定于该地区的基础设

施，而另一些僵尸网络则依赖云服务来开枝散叶。

图 9 按查询的不同威胁类型数量统计的僵尸网络的分布

图 10 按威胁类型数量统计的僵尸网络的累计百分比

0% 25% 50% 75% 100%

31% 15% 40% 13%

图 11 每次威胁中排名前 500 的僵尸网络的百分比

0%

20%

40%

60%

80%

MALWARE CALL HOME AUTOIT SPYBOT SALITY DOWNLOADER（各种）ANDROID TROJAN（各种）CONFICKER B PALEVO VIRUT ZERO DAY CLUSTER NECURS

0%

25%

50%

75%

100%

9%18%

27%32% 36% 39% 42% 47% 53%

63%76%

87%95% 98% 99% 100%

1 种类型 2 种类型 3 种类型 4 种类型 5 种类型 6 种类型 7 种类型 8 种类型 9 种类型 10 种类型 11 种类型 12 种类型 13 种类型 14 种类型 15 种类型 16 种类型

68.4% 68.4% 67.6% 66.2%

46%39.8%

24%19.4%

11.4% 10.2% 7.6%

1 - 4 种类型 5 - 8 种类型 9 - 12 种类型 13 - 16 种类型

不足为奇的是，加密货币是恶意软件的新热点。鉴于去年的比特币金额达到 20,000 美元，恶意软件作者和合法网站都开始探索在

您的服务器上挖掘比特币的新方式。虽然我们知道，通过安装恶意软件利用您的计算机挖掘比特币是不对的，但包含 JavaScript 的网站利用您的 CPU 周期来运行，其道德性仍处于灰色地带。

协作行动 / 像 Mirai 这样的僵尸网络并不经常出现。但这种僵尸网络非常重要，因为它强调了安全的重要性。多家组织在幕后进

行沟通，以收集、理解和宣传有关该僵尸网络的尽可能多的信息。其中许多组织还在继续交叉传输和共享数据。

基于在《2017 年第 4 季度互联网现状》报告中进行的研究，我们开始深入了解凭据滥用及在此领域中使用的工具类型。通过了解

对僵尸网络的 DNS 请求和域名解析，我们将能够以新的视角观察该类威胁活动。

要下载完整报告，请访问 akamai.com/stateo�heinternet-security。

新兴趋势 / 利用恶意软件窃取财务数据已经是 15 分钟之前的老手法了……至少，某些恶意软件作者似乎是这样认为的。作为 Zeus 家族的派生物的 Terdot 恶意软件已进行扩张，将搜集社交媒体凭据作为其活动的一部分。该恶意软件充当代理的角色，可引导用

户访问作者希望其访问的任何网址，从而开放许多有趣的选项。

但 Loapi 僵尸网络采取了不同的方式。经设计，该恶意软件在移动设备上运行，最初的目的是助长 DDoS 攻击。但其创造者决定，

“只会一招”是不够好的，于是推出了其模块化版本。这意味着当发现新的漏洞或需要新的功能时，可以轻松修改僵尸网络。

图 9 按查询的不同威胁类型数量统计的僵尸网络的分布

图 10 按威胁类型数量统计的僵尸网络的累计百分比

0% 25% 50% 75% 100%

31% 15% 40% 13%

图 11 每次威胁中排名前 500 的僵尸网络的百分比

0%

20%

40%

60%

80%

MALWARE CALL HOME AUTOIT SPYBOT SALITY DOWNLOADER（各种）ANDROID TROJAN（各种）CONFICKER B PALEVO VIRUT ZERO DAY CLUSTER NECURS

0%

25%

50%

75%

100%

9%18%

27%32% 36% 39% 42% 47% 53%

63%76%

87%95% 98% 99% 100%

1 种类型 2 种类型 3 种类型 4 种类型 5 种类型 6 种类型 7 种类型 8 种类型 9 种类型 10 种类型 11 种类型 12 种类型 13 种类型 14 种类型 15 种类型 16 种类型

68.4% 68.4% 67.6% 66.2%

46%39.8%

24%19.4%

11.4% 10.2% 7.6%

1 - 4 种类型 5 - 8 种类型 9 - 12 种类型 13 - 16 种类型

[互联网现状]/安全性运营商洞察报告

2 0 1 8 年春

关于 Akamai / 作为全球规模最大、最广受信赖的云交付平台，Akamai 可帮助其客户更轻松地在任何设备上随时随地交付最出

色、最安全的数字化体验。Akamai 的大型分布式平台拥有无与伦比的规模，在 130 个国家/地区部署了超过 200,000 台服务器， 为客户缔造超凡性能和卓越威胁防护。Akamai 提供涵盖 Web 和移动性能、云安全、企业访问和视频交付解决方案的产品组合， 并通过出色的客户服务及全天候监控提供支持。如需了解顶级金融机构、电子商务领先企业、媒体和娱乐提供商以及政府机构

为何如此信赖 Akamai，请访问 www.akamai.com/cn 或 blogs.akamai.com，或者扫描下方二维码，关注我们的微信公众号。 您可访问 www.akamai.com/locations 查找全球联系信息。发布时间：2018 年 4 月。

联系方式 /

sotisecurity@akamai.comTwitter：@akamai_soti / @akamai

www.akamai.com/stateo�heinternet-security

扫码关注·获取最新 CDN 前沿资讯