《互联网现状》报告：QSnatch感染是导致亚太地区恶意DNS流量增加的罪魁祸首

Akamai近日发布的《互联网现状》报告重点说明了恶意DNS流量对亚太地区企业和消费者造成的威胁。

这份亚太地区 (APAC) 报告的主要结论包括：

QSnatch 成为亚太地区最大的僵尸网络威胁：专门针对 QNAP（企业用于备份或文件存储的网络连接存储 (NAS) 设备）的恶意软件 QSnatch 是 2022 年迄今为止亚太地区企业环境中最大的僵尸网络威胁。亚太地区近 60% 的受影响设备感染了 QSnatch，仅次于北美。
企业命令和控制流量增多：在任意季度，全球都有 10% 至 16% 的企业会在其网络中遇到命令和控制 (C2) 流量，这表明有可能正在发生攻击或存在数据泄露。在亚太地区，Akamai 观察到，约有 15% 的受影响设备会连接初始访问代理 (IAB) 域。这些域的背后是网络犯罪团伙，他们向其他网络犯罪分子（比如勒索软件团伙）出售遭到入侵网络的未经授权的访问权。
亚太地区遭受的家庭网络威胁全球最高：亚太地区记录的消费者家庭网络威胁远远高于全球其他地区。2022 年下半年，北美标记的恶意查询数量位居第二，与之相比，亚太地区是它的两倍。我们发现，亚太地区有超过 3.5 亿次查询与 Pykspa 有关，Pykspa 是一种利用 Skype 消息传播的蠕虫病毒，通过向受影响用户的联系人发送恶意链接来窃取信息。

企业受到 DNS 攻击的威胁日趋严重

由于对于互联网的大多数使用都是通过 DNS 进行的，这种普遍性使 DNS 成为了攻击基础架构的一个重要环节。Akamai 每天观察到近七万亿次 DNS 请求，并将恶意 DNS 事务分为三大类：恶意软件、网络钓鱼以及命令和控制。

根据 Akamai 的数据，在任意给定季度，全球有 10% 至 16% 的企业会在其网络中遇到命令和控制 (C2) 流量。C2 流量的存在表明可能有攻击正在进行中，或已发生数据泄露，而威胁则包括窃取信息的僵尸网络、初始访问代理 (IAB)（他们向其他网络犯罪分子出售遭到入侵网络的未经授权的访问权）等。

在亚太地区，15% 的受影响设备已连接到已知的 IAB C2 域（比如 Emotet），这些域首先进行初始入侵，然后向 Lockbit 等勒索软件团伙和其他网络犯罪团伙出售访问权。在该地区，还发现 Revil 和 Lockbit 等勒索软件变体也位列影响所有企业设备的五大 C2 威胁类型。

网络连接存储设备正中攻击者的下怀，因为这些设备不太可能安装修补程序，而且存有大量高价值的数据。Akamai 的数据显示，2022 年，亚太地区近 60% 的受影响设备感染了 Qsnatch（一种针对 NAS 设备的信息窃取恶意软件），这使得该地区的感染数量仅次于北美。由于数据中心大量集中在亚太地区，再加上 NAS 设备在中小企业领域的普及，这些因素最有可能增加整体感染数量。

家庭用户要对 DNS 攻击保持高度警惕

虽然攻击者的攻击目标往往是企业，因为成功入侵企业网络会带来更大的回报，但攻击家庭用户更容易而且更快，因为家庭用户的网络不像企业环境那样安全。攻击者不仅试图滥用计算机等传统设备，而且还试图滥用手机和物联网设备。

根据 Akamai 的数据，2022 年下半年，亚太地区出现与家庭网络威胁有关的查询数量最多。该地区的数量是北美地区的两倍，北美地区是标记查询次数第二多的地区。

亚太地区有超过 3.5 亿次与 Pykspa 有关的查询，此威胁借由 Skype 来传播，通过向受影响用户的联系人发送恶意链接来窃取信息。它的后门功能允许攻击者连接到远程系统并执行任意命令，比如下载文件、终止进程，并通过各种方式传播，包括映射的驱动器和网络共享。

网络钓鱼活动也在积极攻击亚太地区的金融品牌，诱使毫无戒心的消费者成为网络钓鱼受害者。Akamai 的研究发现，超过 40% 的网络钓鱼活动以金融服务客户为目标，导致近 70% 的受害者遭受与金融相关的网络钓鱼诈骗和攻击。这清楚地表明，针对金融服务行业及其客户的攻击在 2022 年非常有效。

建议

在分析了 DNS 态势后，Akamai 向企业和家庭用户提供了以下指导建议：

1.保持积极主动，确保为您的所有数字资产和用户提供出色的网络安全保护

企业应首先实现对所有软件和硬件资产的监测，并绘制出企业数据历程中每一步的所有关键漏洞以及所需的控制措施，比如防范 DDoS、恶意软件攻击和采集以及横向移动和渗透。
最佳做法包括保持更新所有系统和软件，实施反恶意软件和多重身份验证，并在任何时候都对用户和设备实施最低权限访问。对于较大的企业或要求更复杂的企业，请让专业供应商提供帮助，同时也要积极监控性能和异常事件。

2.在家里培养良好的安全做法