用以钓鱼攻击、恶意手机软件和行骗:对于网络攻击乱用新注册域名的科学研究与剖析

黑客信息网

一、实行引言

大家都知道,新注册域名(NRD)一直以来都遭受网络攻击的亲睐,被普遍应用于恶意进攻当中。依据学界和领域的调查报告,早已以统计学方法证实了新注册域名的确存有风险性,另外表明了网络攻击怎样恶意应用新注册域名,实际包含钓鱼攻击、恶意手机软件和行骗。因而,最好安全性实践活动规定大家阻拦并紧密检测公司总流量中的新注册域名。虽然有一些直接证据偏向这一见解,但现阶段都还没科学研究工作人员对于真正样版中澳注册域名的恶意应用方法和威协开展全方位的科学研究。因此,这篇文章内容将对于恶意网络攻击乱用新注册域名的实例开展科学研究与剖析。

超出9年時间里,大家一直对新注册域名开展追踪。我们与互联网技术名字与数字地址分派组织(ICANN)及其各种各样域名注册网站和申请注册商维持协作,进而促使我们可以立即把握在通用性顶级域名(gTLDs)和国家和地区编码顶级域名(ccTLD)下的很多新注册域名。大家还根据运用数据库的组成间接性鉴别新注册域名,这种数据库包含WHOIS、地区文档和主动式DNS。大家特有的新注册域名資源由1530个顶级域名构成,据大家现阶段所掌握,它是当今销售市场上最大品质的公布出示新注册域名服务项目。

依据大家的剖析,有超出70%的新注册域名全是恶意的、异常的或不安全的。这一几率要比在Alexa TOP 10000域名中观查到的总数高于10倍。除此之外,大部分恶意主要用途的新注册域名全是十分短暂性的,他们只存有好多个钟头或是几日,有时候乃至只存有于沒有一切安全性生产商检验到恶意域名的期内内。正是如此,在公司的保护性安全防范措施和实生物应当考虑到怎样阻拦新注册域名。

在文中中,大家出示了一些有关最近新注册域名的高級数据统计,并依据对样版开展科学研究,证实了与之有关的乱用状况和威协,最终探讨了最佳实践的方法。

二、高級统计分析結果

2.1 统计分析

大家的系统软件均值每日鉴别大概200000个新注册域名,总产量在150000到300000中间起伏。下面的图展现了2019年3月10日至5月29日期内的新注册域名总数。一般状况下,工作日内的新注册域名总数一直超过礼拜天的新注册域名,最高值一般出現在周三,谷值一般出現在星期日。

每天新注册域名统计分析:

2.2 按顶级域统计分析遍布

并不是每一个顶级域(TLD)每日都是有新注册域名。均值来讲,每日所有新注册域名共牵涉到600-700个顶级域。下面的图列举了申请注册总数数最多的前10个顶级域。该布局图根据2019年3月到5月中间的数据取均值。能够看得出,虽然.com顶级域是在34年以前(1985年3月15日)发布的,但它依然是最火爆的顶级域,占近期全部新注册域名的33%之多。

第二名会伴随着時间而有一定的转变,但大部分状况下都是会是在较为冷门的ccTLD当中,比如.tk、.cn、.uk。举例来说,在2018年11月到12月期内,.cn一直维持在第二位。但在2019年3月到5月期内,.tk一直排在第二位。在其中有一些ccTLD往往包括很多新注册域名,是由于他们出示了完全免费域名申请注册(比如:.tk、.ml、.ga、.cf和.gq)。

新注册域名的应用状况:

为了更好地搞清楚这种新注册域名的主要用途,大家会依据PAN-DB URL过虑服务项目的归类对这种域名开展交叉式查验。该服务项目依靠一系列技术性对URL开展归类,所应用的技术性包含Web內容网络爬虫、恶意手机软件流量统计、主动式DNS数据统计分析、深度学习和深度神经网络。为简易考虑,大家共将域名分为五个类型,分别是:恶意、异常、不安全、良好和别的。对于在其中的恶意URL,大家再细分为三类,分别是:恶意手机软件、指令和操纵(C2)和钓鱼攻击。对于在其中的异常URL,大家将其分成:停靠在、异常、不充足的內容和高危这四类。对于在其中的不安全URL,大家将其细分化为外露、成人内容、赌钱、不安全的主题活动这四类。对于在其中的良好网站地址,大家将其细分化为商业服务与经济发展、电子计算机与互联网信息、买东西这三类。针对一切不适合所述归类的URL,大家都将其统一归到别的类。图中右边展现了这五个类别的细分化。

有超出70个新注册域名都被大家的PAN-DB URL过虑服务项目标识为恶意、异常或不安全。这一几率是Alexa TOP 10000域名中几率的10倍,只是占了7.6%。除此之外,在大家的PAN-DB URL过虑服务项目中,恶意归类仅占新注册域名的1.27%。殊不知,在Alexa TOP 10000域名中,这一占比只是是0.07%上下。

2.3 恶意新注册域名

为了更好地进一步掌握恶意新注册域名的特点,大家确定并测算了每一个顶级域中澳注册域名的几率。下面的图列举了最近新注册域名中恶意域名几率最大的前15个顶级域。在其中有大部分是国家和地区顶级域名(ccTLD)。对于实际的顶级域名,假如具备较高的恶意域名率,在其中的一些缘故可能是注册域名价钱较低、出示免费申请服务项目、申请注册方法不严苛、不公布表明WHOIS申请注册者信息内容等。

最近新注册域名中恶意域名几率最大的前15个顶级域:

三、恶意乱用及威协

下面,大家探讨新注册域名的恶意乱用。大家对依靠URL过虑专用工具、WildFire、DNS安全性这种商品和服务项目所观查到的新注册域名开展了剖析,发觉新注册域名通常与恶意乱用和威协关联,在其中包含C2、恶意手机软件派发、钓鱼攻击、域名假冒、潜在性危害程序流程/广告宣传电子邮件和垃圾短信。大家对在其中每一个归类开展了关键剖析,并排列举了一些实际中的具体样版。

3.1 C2域名

针对恶意手机软件而言,一般要通电话回巢穴,为此来获得指令,免费下载大量Payload或完成数据信息盗取。用以所述目地的恶意域名被称作指令和操纵(C2)域名。

域名soroog[.]xyz在2019年5月29日初次申请注册,我们在申请注册的当日就观查到存有应用该域名做为C2的恶意手机软件。到迄今为止,大家早已发觉有七个AzoRult恶意手机软件样版应用该C2域名。归属于此系列产品的恶意手机软件可以全自动搜集隐秘数据,比如比特币钱包和透支卡信息内容。

下面的图中,呈现了大家捕捉的一部分恶意总流量,在其中发觉它已经与C2 soroog[.]xyz开展通讯。该域名最开始被代管在IP地址51.68.184[.]115。依据大家的主动式DNS纪录,该域名分析的IP地址在2019年6月24日以后转换为51.38.101[.]194。而在2019年6月26日以后,该域名变成NXDomain(不会有的域名)。如同大家所见到,这一域名的存活周期时间十分短暂性。事实上,大部分用以恶意目地的新注册域名全是这般,他们只是生存了好多个钟头或是几日,有时候乃至只存有于沒有一切安全性生产商检验到恶意域名的期内内。正是如此,在公司的保护性安全防范措施和实生物应当考虑到怎样阻拦新注册域名。

标签:

发表评论 (已有条评论)

  • 评论列表