（文/Palo Alto Networks（派拓网络）威胁情报团队Unit 42）自2020年3月9日到2020年4月26日的7周时间里，Palo Alto Networks（派拓网络）威胁情报团队Unit 42的研究人员分析了120万个包含与COVID-19疫情相关关键字的新注册域名（NRD）。如图1所示，超过86,600个域名属于“危险”或“恶意”域名，遍布全球各个地区。美国的恶意域名数量最多（29,007个），其次是意大利（2,877个）、德国（2,564个）和俄罗斯（2,456个）。中国内地和香港则共计有931个恶意域名。
 
Unit 42的研究人员发现，超过56,200个新注册域名由四大云服务提供商（CSP）托管，包括亚马逊云（70.1％）、谷歌云（24.6％）、微软云（5.3％）及阿里云（<0.1％）。
 
在研究过程中，我们注意到一些恶意域名有多个IP地址，而某些IP地址与多个域名有关联。内容交付网络（CDN）的使用让这种多对多映射经常出现在云环境中，并且会使基于IP的防火墙失效。此次研究的一些重要发现包括：
 
平均每天有1,767个与COVID-19相关的恶意域名创建。
86,600多个域名中，2,829个公有云中托管的域名属于危险或恶意域名
亚马逊云托管79.2％
谷歌云托管14.6％
微软云托管5.9％
阿里云托管0.3％
不法之徒一直掩盖恶意活动，例如进行网络钓鱼以及在云端传递恶意软件。
更高的价格和更严格的筛选/监控流程可减少攻击者在公有云中托管恶意域名的现象。
 
恶意攻击者利用云资源来逃避检测并扩大攻击规模，令来自云端的威胁更难防御。企业需要具备云原生安全平台和更高级的应用感知防火墙，以保护其环境。Palo Alto Networks（派拓网络）将持续监控新注册的恶意域名。Prisma Cloud和VM系列都在云环境中提供了第7层防火墙功能，以防止来自这些域名的恶意活动。

图1. 七周内与COVID-19相关的恶意域名注册量超过8.66万个

 
结论
 
网络威胁正在迅速演变，并利用现实事件欺骗受害者。随着COVID-19疫情导致云应用的激增，我们观察到不仅有针对云用户的攻击，还有来自云端的威胁。每天都有成千上万的恶意域名上线，而云托管的应用和服务与非云端点面临相同的威胁，因此必须通过持续监控和自动威胁防护工具来保护每个端点。多云工作环境让这个问题变得更加复杂。由于云管理的复杂性，用户错误配置导致的安全事故频发。云原生安全平台（CNSP）可帮助企业跨多个云提供商、工作负载和混合云环境进行监控并保护资源。
 
Palo Alto Networks（派拓网络）客户可通过以下产品免受这些威胁侵害：
Prisma Cloud
VM系列
Palo Alto Networks（派拓网络）URL过滤