做网站是个技术活,做网站也是个服务活

新注册域名恶意行为分析

2019-10-07 07:48:10 投稿人 : 网站建设者 围观 : 10 次 0 评论

  新注册的域名(NRD)受到攻击者者的青睐,可以用来发起恶意活动。学术和行业研究报告显示,统计数据表明,NRD是有风险的,可用于包括钓鱼、恶意软件和诈骗在内的恶意活动。本文介绍了攻击者恶意利用NRD的综合案例研究和分析。

  我们的分析显示超过70%的NRD是“恶意的”或“可疑的”或“不安全的”,大多数用于恶意目的的NRD是非常短暂的,它们只能存活几个小时或几天,有时甚至在没有任何安全供应商检测到之前就被弃用了。这就是为什么阻止NRD是企业必须采取的预防性安全措施。

  我们提供了一些关于最近NRD的统计数据,通过案例研究展示了与之相关的恶意活动。

  系统平均每天识别约200000个NRD。总量在15万到30万之间波动。图1显示了2019年3月10日至5月29日NRD的数量。一般来说,在工作日登记的NRD比周末多,高峰通常在周三,低谷通常在周日。

  并非每个TLD每天都有新的注册。平均来说,每天NRD中出现600到700个独特的TLD。图2列出了注册最多的前10个TLD。可以看到,然是最受欢迎的TLD,它占了最近所有NRD的33%。

  第二的位置随时间变化,但主要是在一些ccTLD中,包括.tk、.uk。例如,.cn在2018年11月至12月保持第二位。然而,从2019年3月到5月,.tk一直位居第二。这些cctld注册了大量的nrd,因为它们提供免费的域注册(例如tk,.ml,.ga,.cf和.gq)。

  为了理解这些新注册域名的目的,我们通过PAN-DB的 url过滤服务交叉对比检查这些域。此服务通过多种技术手段对URL进行分类,包括Web内容爬行、恶意软件流量分析、被动DNS数据分析、机器学习和深度学习。

  为了简单起见,我们将类别分为五类:“恶意”“可疑”“不安全工作”“良性”和“其他”。对于恶意URL,我们有三类,即恶意软件、命令和控制(C2)和钓鱼。对于可疑的URL,我们使用类别待定、可疑、内容不足和高风险。对于良性的URL,我们使用商业和经济、计算机和互联网信息以及购物。任何不符合这些类别的东西都属于“其他”类别。图3显示了五个类的细分。

  超过70%的NRD被我们的pan-db url过滤服务标记为恶意、可疑或不安全。这个比率几乎是Alexa前10000个域名的10倍,仅为7.6%。此外,我们的pan-db url过滤服务中,恶意类别占了大约1.27%的NRD。然而,在Alexa排名前10000的域名中,这个比例仅为0.07%。

  为了进一步了解恶意NRD的特点,我们检查并计算了每个TLD的恶意NRD比率。图4列出了最近NRD上恶意率最高的前15个TLD。TLD具有高恶意率的原因包括注册成本低或免费、注册政策不严格,以及可隐藏注册者信息。

  我们分析了观察到的NRD,发现NRD与恶意利用相关用途,如C2、恶意软件传播、网络钓鱼、近似域名注册、pup/广告和垃圾邮件。下面是每一个类别的例子。

  恶意软件通常需要回连,以便获取命令,下载更多有效负载或执行数据过滤。用于此目的的恶意域称为命令和控制(C2)域。

  Soroog[.]XYZ于2019年5月29日首次注册,在同一天观察到使用该域进行C2的恶意软件。到目前为止,我们已经看到七个使用这个c2域的恶意软件样本。属于这个家族的恶意软件可以自动收集敏感数据,包括比特币钱包和信用卡信息。

  图5捕获了一部分恶意软件流量,其中它正在与C2 Soroog[.]XYZ进行主动通信。此域最初托管在IP地址51.68.184[.]115上。根据我们的被动DNS记录,IP在2019年6月24日切换到51.38.101[.]194。2019年6月26日后,该域变为NXDOMAIN(不存在域),这个域存在时间是非常短暂的。实际上,对于大多数用于恶意目的的NRD来说,它们只能存活几个小时或几天,有时甚至在没有安全供应商检测到之前就被弃用了。

  NRD通常用于恶意软件传播。这里我们以emotet恶意软件家族为例。emotet是一个银行木马,它嗅探网络流量以获取银行凭证。它在2014年被发现,今天仍然普遍流行。到2019年为止,我们已经观察到50000个独特的样本。通常是通过网络钓鱼攻击,如图6所示,恶意文档通常以附件的形式出现在网络钓鱼电子邮件中或来自受攻击的网站。文档通常主要充当下载程序,下载和执行有效负载。下载通常是通过HTTP进行的,我们已经观察到数千个下载URL,许多都是在NRD上托管的。

  网络钓鱼活动也经常使用NRD。加拿大域名neflxt[.]com于2019年7月4日注册。根据我们的被动DNS记录,在7月6日开始看到这个域的流量,到7月17日它还是一个活跃的网络钓鱼站点。它试图窃取受害者的Netflix凭证以及账单信息(图10)。还有另一个域netflix mail[.]ca也重定向到加拿大neflxt[.]com。此域于7月11日注册。

  这个网络钓鱼网站结合了几种技术来隐藏自身不被检测。例如,登录页面canada neflxt[.]com/login(图7a)使用captcha来防止爬虫程序获取更多内容。此外,右键单击在登录页面上被禁用(图7b)。我们认为这是为了防止受害者轻易地检查网站的页面资源和网络流量。输入电子邮件和密码后,我们观察到未加密的信息被发送出去。接下来,受害者将到达设置账单信息的页面(图7c)

  注册近似域名是一种域名抢注的形式,利用互联网用户在网络浏览器中输入域名时所产生的拼写错误。将仿冒域名货币化主要有三种形式。首先,等待以高价出售给目标域名的所有者(例如facebo0k[.] com而不是facebook[.] com)。然而,根据我们的分析,大公司在防御性注册方面做得相当好。此外,还有许多品牌监控保护服务来帮助防御注册。因此,以这种方式赚钱变得越来越困难。其次,要投放广告或将流量重定向到广告(例如,t-mogbile[.] com重定向到verizonwireless[.] com)。最基本的想法是使流量货币化。第三,提供恶意内容,如钓鱼网页、恶意软件下载等。

  在NRDS中广泛观察到近似域名注册现象。例如,域mocrosoft[..]cf可能是针对Microsoft的一个典型的近似域名注册。这是因为字母“i”和“o”在键盘上相邻,并且可能出现打字错误。该域于2019年6月3日首次注册,同一天我们的捕获了该域的流量。图8是使用Microsoft Edge浏览它的屏幕截图。显然,这是一个试图窃取用户登录凭证的网络钓鱼页面。

  域生成算法(DGA)是恶意软件用于定期生成大量域的常用方法,这些域可以用于C2和数据泄漏等恶意目的。大多数DGA根据日期和时间生成域。例如,Conficker C每天生成50,000个域。庞大的域名使得执法部门工作极为困难。但是,攻击者知道算法,可以预测在特定日期将生成哪些域。因此,攻击者只要按需注册一个或几个域。绝大多数DGA域看起来非常随机。

  PUP代表“潜在有害程序”,在大多数情况下是广告软件。 广告软件可能不会像恶意软件那样真正损害系统。 但是,它通常会对系统执行不必要的更改,例如更改浏览器的默认页面,劫持浏览器以插入广告等。有时广告软件的基础架构可以重新用于恶意软件下载,从而影响运行PUP的主机。

  installsvpn[.] com是为PUP传播而创建的。 首次在5月10日注册,我们开始在5月16日看到这个域名服务于PUP。这是一个针对iPhone用户的广告软件。 图9显示了假病毒弹出消息,它试图引诱用户下载并安装“Secret VPN”工具。 为了绕过检测,本网站仅检索操作系统信息,并仅显示iPhone的警告。 对于其他系统,将返回空页面。

  另一个例子是llzvrjx [。]站点,该站点于6月12日注册并于6月14日开始运行。它是一个成人网站,提供免费的流媒体视频应用程序。 我们分析了此应用的Android版本,发现此应用附带了可疑权限,例如ACCESS_FINE_LOCATION,SEND_SMS和READ_CONTACTS。

  除了尝试获取用户名和密码等用户凭据的网络钓鱼欺诈,还有其他类型的在线欺诈。根据我们的分析,这些骗局也依赖NRD。下面是几个例子。

  奖励诈骗:域名mey12d4[..]xyz于2019年5月13日注册。同一天,我们注意到一个活动,该域嵌入到一条发送给受害者的未经请求的文本消息中,如图10a所示。该文本消息使用100美元奖励作为用户单击链接的激励。一旦在浏览器中打开,它将经过一系列的重定向,最终登陆一个假的亚马逊调查页面,如图10b所示。页面会要求填写信用卡和家庭地址等个人信息。

  技术支持诈骗:这种诈骗依靠社会工程学,通过电话声称提供合法的技术支持服务。受害者经常被欺骗安装远程桌面访问工具并通过提供信用卡信息支付服务。这些骗局通常以一个网页开始,表明电脑受到了威胁,并指示受害者拨打技术服务号码。图11显示了一个运行示例,此页面位于域-alert-m99[.]xyz上,该域于2019年7月17日注册。同一天,它开始服务于技术支持欺诈页面。

  垃圾邮件的目的各不相同,从广告到鱼叉式网络钓鱼。 图12显示了一个垃圾邮件,用于分发有关退休储蓄的广告。 它是通过2019年7月4日注册的mercinogenitor[.] com发送的。垃圾邮件是在7月15日收到的。

  总而言之,新注册域名(NRD)经常被攻击者用于恶意攻击,并不限于C2,恶意软件分发,网络钓鱼,域名抢注,PUP /广告软件和垃圾邮件。同时,NRD也有好的用途,例如推出新产品,创建新品牌或活动,举办新会议或建立新的个人网站。

  我们建议使用URL过滤阻止对NRD的访问。NRD威胁的风险很大,如果允许访问NRD,则应设置警报以提高危险的预知性。我们将NRD定义为在过去32天内已注册或拥有权变更的任何域名。分析表明,前32天是NRD被检测为恶意的时间范围。

来源:XX博客,转载请注明作者或出处,尊重原创!

相关文章

  • 关键字优化排名怎么做?
    关键字优化排名怎么做?

      首先关键字在网站中是不可缺少的一点,相信这个大家都是有着很深的了解的,当人们在需要一个东西的时候就不需要把其全部名称输入进去,只需要输入对应的关键字,之后在网页上就可以寻找到自己所需要的东西了。如果我们网站的关键字没有排名,...

    2019-10-16 13:34:17 怎么做排名
  • SEO快速排名该怎么做!
    SEO快速排名该怎么做!

      网站收录排名都是我们非常关注的,尤其是内容方面,只要文章被收录,说明搜索引擎认可我们,我们的站才会越来越好,用户阅读的机会就非常大,用户阅读量越多越容易做快速排名。那么,我们如何让文章收录呢?   被推荐过...

    2019-10-15 06:43:50 怎么做排名
  • 应该如何提升网站的排名
    应该如何提升网站的排名

      应该如何提升网站的排名?很多朋友比较关心这个问题,但是网站的排名想要提升上去,可不是一天两天就能办到的事情,这个工作是要长期的去做,有些网站可能做优化,都做了56年的时间,最后才能够让排名比较的稳定,而且还有很多竞争对手,也...

    2019-10-13 21:38:50 排名如何
  • 全球十大食材净化器排名如何哪些牌子好?
    全球十大食材净化器排名如何哪些牌子好?

      食材净化器也称食材净化机、洗菜机、净食机货果蔬净化机,随着人们经济水平的提高以及对于自身健康意识的加强,食材净化器已经开始走入越来越多的家庭。而且随着市场需求的增加,促进了食材净化器技术的进一步完善,越来越多专做食材净化器的...

    2019-10-13 21:38:46 排名如何
  • 毅恒seo_seo刷流量工具_妹也色在线视频下载迅雷下载 迅雷下载
    毅恒seo_seo刷流量工具_妹也色在线视频下载迅雷下载 迅雷下载

      他好歹在上个世界活了一世,这样的年轻人也见得多了, 自然一眼就看出莫庸为何如此。最新超碰人人在线视频并不是一个完美无缺的人,但是连缺点,都让人看得十分顺眼。徐容顿了一下,再次招招狠辣地对着叶无出手了起来。毅恒seo“好。”...

    2019-10-12 13:32:37 怎么做排名
  • 【网络营销战略】Seo包括的内容有哪些
    【网络营销战略】Seo包括的内容有哪些

      zKg百排链接交换-网站分类目录收录提交-中国最大的网站友情链接交易平台   经过一段时间的勤奋学习,对SEO有了全面的了解,我想把SEO介绍给我们。什么是查找引擎优化?Seo包括哪些内容查找引擎优化对百科...

    2019-10-12 13:32:32 做网站找我
  • 网站优化排名天天需要做的事情
    网站优化排名天天需要做的事情

      第一、 网站优化排名为优化网站添加文章:一般按照站点总文章量来抉择每天添加文章的量,约文章总量的2%5%。好比你用的博客,一共有百把篇文章,那你每天加个2,3篇就可以了,若是做的站,内容有千把篇,那每天加个20,30篇。这个...

    2019-10-11 07:23:46 网站做排名
  • 「深圳刷关键词排名」做好网站优化排名的最大好处
    「深圳刷关键词排名」做好网站优化排名的最大好处

      网站优化排名是指为了从搜索引擎中取得更多的免费流量,从网站结构、内容建设方案、用户互动传达、页面等视点进行合理规划,使网站更适合搜索引擎的索引准则的行为;使网站更适合搜索引擎的索引准则又被称为对搜索引擎优化,对搜索引擎优化不...

    2019-10-11 07:23:42 网站做排名
  • 侠客站群软件破解版
    侠客站群软件破解版

      现在好了!棒槌来了,嗯,她的宋教练再次开了挂,他也就瞬间嘚瑟起来了。败犬女王下载用手!侠客站群软件破解版可是他错了,不管怎么克制,怎么冷漠,怎么疏离,他的心,还是有她林苼音的位置。   侠客站群软件破解版闻...

    2019-10-09 23:30:56 手机排名
  • 关键词百度手机排名查询
    关键词百度手机排名查询

      其实平时景舒窈很少自拍,除了和小姐妹出去玩的时候,懒得p图就直接用美颜相机,实际上她别的不敢说,就这张脸,她还是比较有自信的。门牙烤瓷牙能用多久吃过饭,景舒窈帮着收拾好桌子和碗筷,想着自己似乎也没什么理由继续逗留,便自觉同陆...

    2019-10-09 23:30:49 怎么做排名