僵尸网络 C&C 数据源
僵尸网络攻击和相关威胁基础知识
如今,网络攻击和感染通常涉及僵尸网络及其基础设施。持续的僵尸网络攻击以普通互联网用户和特定组织为目标。可规避检测的复杂技术(如高级加密和沙箱感知)促使这种攻击不断增加。大多数僵尸网络受害者甚至不知道自己受感染并且继续正常操作,从而帮助僵尸网络持续存在并方便犯罪分子访问重要资源。
僵尸网络事实
- 首次公开出现:2000
- 臭名昭著的僵尸网络:Conficker、Zeus、Waledac、Mariposa、Kelihos、Rustock 等
- 受感染和陷入僵尸网络的端点和组织数量大幅增加
- 主要感染方法:偷渡式下载和电子邮件
- 感染目的:垃圾邮件分发、DDoS 攻击、数据和身份盗窃、计算能力的大型分布式资源、金融欺诈、点击欺诈等
- 僵尸网络创建者会将僵尸网络中的机器出租给最高出价者
卡巴斯基僵尸网络 C&C 数据源
卡巴斯基僵尸网络 C&C 数据源是含可付诸行动内容(威胁名称、时间戳、地理位置、受感染 Web 资源的已解析 IP、关联恶意软件哈希等)的 URL 和哈希集,覆盖桌面和移动僵尸网络服务器和相关恶意对象。与提供原始信息和未过滤数据的传统僵尸网络源不同,我们实时提供基于实际僵尸网络活动的准确、及时情报。数据源可帮助检测网络罪犯用于控制受感染机器(僵尸)的僵尸网络服务器 (C&C) 的连接。
卡巴斯基僵尸网络 C&C 数据源适用于小型网络设备和高性能任务关键型网关/服务器,以及内容过滤/互联网安全供应商、ISP 和 Web 托管公司。它与软件或硬件设计完全无关,因此可在专有(非 x86/*NIX)平台上成功实施。
收集和处理
卡巴斯基僵尸网络 C&C 数据源从融合的异构和高度可靠的源汇总,如卡巴斯基安全网络和我们自己的网络爬虫、僵尸网络监控服务(全天候监控僵尸网络和僵尸、其目标和活动的独特平台)、垃圾邮件陷阱、研究团队和合作伙伴。接着将使用多种预处理技术仔细检查和细化汇总的数据,如统计标准、卡巴斯基专家系统(沙箱、启发式引擎、多个扫描器、相似性工具、行为剖析等)、分析师验证和允许列表验证:
卡巴斯基僵尸网络 C&C 数据源包含实时源自现实世界的全面审查威胁指标数据。
功能
- 夹杂误报的数据源没有价值,因此在发布源前将应用广泛的测试和过滤,以确保交付 100% 审查的数据。
- 从卡巴斯基安全网络持续收集情报数据(全球超过 1 亿用户的大型分布式网络)且实时更新。
- 基于全球僵尸网络发现的持续更新源。
- 几十万掩码用于检测僵尸网络 C&C 和相关 Web 资源。
- 广泛的覆盖范围(每天跟踪数万个僵尸网络和僵尸)。
- 通过 FTP、HTTPS 或专用交付机制的简单轻量级分发格式(JSON、CSV、OpenIoC、STIX)支持轻松将源集成到安全解决方案中。
优势
- 检测僵尸将盗窃的数据传输到的 Web 资源(僵尸网络所有者控制的降落区)和增强在线用户保护(通过不暴露其个人信息/数据或通过保护计算资源免遭劫持),以及贵组织的品牌声誉(通过保护业务关键型机密数据免遭泄露)。
- 实时检测僵尸从中接收命令和控制指令和主动从对应僵尸网络中断网络攻击的 Web 资源。
- 阻止互联网上往来 C&C 节点的损坏流量,了解贵组织/网络内受威胁的机器。
- 过滤网络流量中的源和目标地址/URL,以便采取相应的风险预防措施。
- 利用情报抵御大型全球僵尸网络,而无需投资于复杂的威胁分析中心,并且可实时了解全球僵尸网络中的恶意活动。
- 能够向托管僵尸网络 C&C 的 ISP/MSSP 举报滥用,从而让提供商消除攻击资源和削弱或甚至完全阻止僵尸网络功能。
用例
- 增强您的网络保护解决方案,包括防火墙、IPS/IDS、安全代理、含持续更新的入侵指标 (IOC) 和可付诸行动的安全 DNS 解决方案,以抢先增强安全措施和防止数据泄露。
- 针对外围网络设备(如路由器、网关、UTM 设备)开发或增强反恶意软件保护,以及通过分析网络流量检测恶意对象。
- 通过在安全边界内检查是否存在用于非法目的的受感染机器,揭露活动感染。
- 防止可用于身份盗窃或品牌滥用的敏感信息丢失和泄露。
- 记下发出攻击特定客户的命令的活动 C&C,并且通知这些客户新攻击、风险级别和将来可防止类似攻击的措施。
没有迹象表明僵尸网络攻击的数量将在未来减少。利用有关僵尸网络的威胁情报阻止犯罪分子瞄准和利用您的客户或企业。卡巴斯基僵尸网络 C&C 数据源让您可方便、经济高效地持续更新和增强安全性。获得有关地下世界网络罪犯的直接意图、能力和目标的无与伦比情报,从而直接发送到您的安全解决方案。
联系我们
若要了解详情,请填写联系表单并注明您需要有关卡巴斯基反僵尸网络源的更多信息。我们的代表将尽快与您联系。