透过世界网站排名Alexa看看混进白名单的恶意软件
作者:星期三, 十月 18, 20170

噪音是安全运营中心(SOC)的一大顾虑。安全团队每天在大堆安全工具产生的噪音中苦苦挣扎。随着体量的增大,团队逐渐开始寻找捷径,希望能自动化某些过程,节省出宝贵的时间并减少噪音。

安全分析师们找到的其中一条捷径,就是自动化从已有安全列表构建白名单的过程。管理白名单是件特别耗时的事,在分析师待办事项中堆积有其他调查时,还会成为一种干扰。然而,我们发现,利用已有列表组建白名单,可能意味着让你的公司对漏洞门户大开。

Awake Security的安全团队最近仔细审查了一个看起来良性的列表——世界站点排名网站Alexa前100万域名列表,意图评估该列表是否适用于构建白名单。尽管Alexa列表并非为白名单设计,很多安全团队就将之视为逻辑上的起始点。最常被访问的网站不危险,似乎是挺有道理的想法。在调查中,这些网站也确实会被自动认为是安全的。

然而,在审查中,潜在恶意域名在该列表中的排名也可以高达第447位。就在求职网站Glassdoor之下,距离戴尔网站5位,甚至比BoredPanda.com艺术博客网站还流行的,是一个恶意域名:piz7ohhujogi.com。一眼看去,该网站就特别可疑,因为似乎是些随机生成的内容,特别像某些恶意软件惯用的DGA域名(DGA:域名生成算法)。更进一步的审查中,谷歌搜索好几页的搜索结果都建议将该网站从你的重定向中移除,还有很多网站将之标记为弹出广告或重定向病毒。

对该列表为期一周的监视结果揭示,此可疑域名竟然还在列表排位中持续攀升,曾爬到过第432位。此后,其排名逐渐下降,但依然保持在Alexa列表前列。

该网站打入Alexa前100万域名列表的事实,引出了一个问题:其他可疑域名是怎么混进去的?为找出答案,研究人员将Alexa前100万域名列表与6个恶意软件黑名单做了比对:Maltrail、ZeusTracker、MalwareDomains.com、Malware Domain List、Malware Bytes 和Cybercrime。

Malware Bytes列表中的域名与Alexa列表重合度最高(1308个),不过其中域名类型倒未必都是恶意的。比如说,列首位的域名,qq.com,就是提供消息应用的流行中国社交网站。排名第2的,是一个中国新闻网站。但是,取决于你公司的可接受使用策略,这些站点和列表中其他站点,依然可能是你白名单的威胁,如果你不容忍盗版软件(thepiratebay.org, utorrent.com)或色情内容浏览的话(cam4.com)。

以上还只是被揭露的少数例子。最后,再强调一遍,Alexa前100万域名列表之类的东西,不是为白名单设计的。尽管其用于管理现有列表以减少噪音的诱惑很大,对外部源抱有隐性的信任也是有危险的。

借用Alexa网站的一句话:“信息就是力量——只要你有正确的工具。”将流行列表用作白名单的人,最好再审查一下自己的工具和方法,确保自家公司的安全。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章