IPv6将逐渐成为黑产作恶的主流资源
随着企业更多业务从IPv4迁移到IPv6,基于IPv4的攻防战场势必会向IPv6转移。事实上,互联网黑灰产已经开始运用上了IPv6这一底层资源,并凭借IPv6数量庞大的特性,在互联网业务安全攻防中占据了优势地位。
威胁猎人针对已命中风险IP的IPv6和IPv4进一步分析发现,在某些作恶场景中,近两周的风险IPv6数量占总IPv6查询量的比例(2.27%)超过了风险IPv4数量占总IPv4查询量的比例(0.83%),即IPv6作恶的比例高于IPv4作恶的比例。
注:IPv6作恶比例=风险IPv6数量/IPv6查询总量;IPv4作恶比例=风险IPv4数量/IPv4查询总量
此外,从整体风险IP情况来看,风险IPv6的占比也一度超过风险IPv4。以下是某企业平台某风险场景中近两周风险IPv4和风险IPv6占比:
IPv6已逐渐成为黑产作恶的重要资源,IPv6安全攻防战已开启,但当下企业在IPv6风识别上仍存在很大的挑战。
当下黑名单检测机制在海量的IPv6面前基本完全失效
众所周知,IPv6地址空间几乎接近无限,被十分形象地称为可以为全世界的每一粒沙子分配一个地址,这也意味着黑灰产掌握的IP资源体量将无限扩大。
威胁猎人对捕获到的IPv6进一步分析,IPv6地址被黑产重复使用2次及以上的比例不会超过10% ,同比IPv4地址重复出现的比例可达90%。这种情况下,当下主流基于黑名单的检测方式在IPv6风险检测上则完全失效。
威胁猎人IPv6风险识别引擎助力企业精准定位IPv6风险
威胁猎人很早就开始关注到IPv6的相关风险,并逐步启动对其风险识别能力的研究。
威胁猎人通过对IPv6地址分配规律以及大量IPv6黑产数据的分析研究,总结出风险IPv6的行为规则,形成一套精准有效的IPv6风险识别算法,可以有效帮助企业精准检测出业务流量中IPv6流量在活跃时间内的风险值。
目前该引擎在多个头部客户的业务场景进行测试,识别准确率可达100%,召回率能达30%-35%。
某互联网企业提供1000条IPv6纯黑样本,经过风险识别引擎识别出295条高风险IPv6,识别准确率100%,召回率是29.5%,样本流量集中在Top8城市,均在监测的地区范围内。
目前IPv6风险识别引擎还有待继续完善,后续我们会持续跟进对全网黑产使用的IPv6资源地区的覆盖,消除识别算法的盲区,进一步提升检测率,以便更精准、更及时地定位IPv6风险。
如果您的业务中也有发现可疑IPv6
欢迎使用威胁猎人IPv6风险识别引擎
进行IPv6风险定位
原文始发于微信公众号(威胁猎人Threat Hunter):2024年上半年,恶意IPv6已在部分风险场景中占比超过IPv4
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论