美國成為了最大的惡意軟體基礎設施提供地

Cofense Intelligence在對今年傳播於網路上的釣魚惡意軟體研究後發現，27％的威脅指標（IoC）使用過位於美國或通過美國代理的C2（也稱C&C，Command and Control Server縮寫，指木馬的控制和命令伺服器）設備。美國儼然已成為惡意軟體C2的最大的設備所在地。

下面的地圖1對觀察結果做了詳細描述。雖然美國在其中所佔比例最大，但並不表示美國用戶遭受到的攻擊最多，因為威脅行為者為了避免被本國逮捕或引渡的風險，更傾向在在本國以外的國家或與東道國簽訂引渡協議的國家託管C2設備。然而，C2基礎設施極大偏向於受損主機，說明美國境內主機受損的情況還是普遍存在的。

地圖1:2018年觀測到的所有ip，都是從域名和直連中解析出來的

下面的圖表1反映了在地圖1中觀察到的前5個相對數據點。

圖表1:2018年迄今為止，全球排名前5的C2地點。

地圖2和地圖3對C2所在地TrickBot和Geodo Tier 1代理節點之間的並置做了詳細說明。

地圖2:2018年迄今為止TrickBot的C2分布地點。

地圖3：2018年迄今為止Geodo的C2分布地點

乍一看，Geodo與TrickBot的C2設備所在地可能有些出入：Geodo更多的使用美國主機，而TrickBot則更傾向於俄羅斯設備。Geodo會使用被破壞的Web伺服器網路，通過運行Nginx作為Tier 1代理節點。更具體的說，Geodo使用合法的Web伺服器作為反向代理，在這些Web伺服器與隱藏的C2主機建立連接。 而TrickBot幾乎都在用虛擬專用伺服器（VPS）來託管其惡意設備。

從TrickBot的C2分布趨勢明顯可以看出，東方（比如東歐和俄羅斯）的C2數量相對西方就多得多了，所以TrickBot活動幾乎總是針對西方受害者。今年6月，Cofense Intelligence發布了一份報告，報告中詳細描述了針對英國的持續性惡意攻擊。可能是由於這些國家之間缺乏引渡協議（如下圖1所示），TrickBot才會選擇東方作為C2的主要分布點，雖然如此，TrickBot也還是有一些C2位於北美和西歐的，這可能是一個戰略性的舉措，TrickBot在多個地點分布C2，通過區域多樣化來混淆其位置，這種不確定性可以幫助其主機在相對較長的時間內不被捕獲。圖2是地圖2的補充說明，對TrickBot C2所在地進行了詳細統計。

圖1:與美國簽署引渡協議的國家。

圖2:TrickBot C2所在地分類。注:在「其他」類別中，64%是東部地區(包括東歐)。

Geodo和TrickBot堪稱當今最惡劣的兩種惡意軟體，其C2設備在世界範圍內廣為分散、數量眾多。這表明，在未來的幾個月里，這些惡意軟體家族幾乎可以肯定會繼續存在。一個熱心的網路防禦者應該注意到，使用地理位置來幫助區分合法的流量和潛在的惡意流量可能並不像看起來那麼有效。根據上述案例研究，從可靠的來源積極監測威脅情況並保持警惕將是較為謹慎的做法。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！