200多位安全研究人员宣布,他们在一次全球合作行动中解救了将近10万个被劫持来传播恶意程序的网站。
2018年3月底瑞士非营利安全机构abuse.ch发起了一个名为URLhaus的合作项目,旨在结合业界安全专家之力搜集及共享传播恶意程序的网站URL,再通知托管网站企业找出并协助修复由其托管被入侵、劫持的网站,十个月下来的成果是一共解除了近10万个网站。
这项计划中,265名参与的安全研究人员每天识别并上传平均300个传播恶意程序的网站URL。 URLhaus计算每天活动的恶意网站平均有4,000到5,000个。每个恶意网站平均活动期间达8天10小时又24分钟,足以使它们每天感染数千台设备。
在所有托管恶意网站的网络中,三分之二是位于中国和美国境内,其中最大的美国的Digitalocean,托管的恶意程序URL达307个。
研究人员也披露了他们联系这些托管网站后,等到对方回应所花的时间。其中中国最大三个恶意网站托管网络,包括中国电信、中国联通及阿里巴巴最慢条斯理,全部要等上超过1个月才会有回应,中国联通甚至要2个月后才回复研究人员。
全球传播的恶意程序中,传播范围最广之一是银行木马Emotet/Heodo,主要是藏在含有宏的Office文件通过垃圾邮件感染用户,但为了躲避过滤软件侦测,这些垃圾邮件会以URL诱使用户连向外部网站下载。 URLhaus 10个月来搜集到的38万个恶意程序样本中,以Emotet/Heodo最多,其次是木马程序Gozi及勒索软件GandCrab。
abuse.ch也呼呼吁拥有ASN、各国CERT(网络危机处理中心)、或拥有国家及地区顶级域名(ccTLD)及通用顶级域名(gTLD)者,应该订阅URLhaus恶意网站的免费URL信息。