概述
新注冊的域名(NRD)受到攻擊者者的青睞��,可以用來發(fā)起惡意活動(dòng)���。學(xué)術(shù)和行業(yè)研究報(bào)告顯示��,統(tǒng)計(jì)數(shù)據(jù)表明����,NRD是有風(fēng)險(xiǎn)的��,可用于包括釣魚���、惡意軟件和詐騙在內(nèi)的惡意活動(dòng)。本文介紹了攻擊者惡意利用NRD的綜合案例研究和分析����。
我們的分析顯示超過70%的NRD是“惡意的”或“可疑的”或“不安全的”,大多數(shù)用于惡意目的的NRD是非常短暫的�����,它們只能存活幾個(gè)小時(shí)或幾天,有時(shí)甚至在沒有任何安全供應(yīng)商檢測到之前就被棄用了�。這就是為什么阻止NRD是企業(yè)必須采取的預(yù)防性安全措施。
我們提供了一些關(guān)于最近NRD的統(tǒng)計(jì)數(shù)據(jù)��,通過案例研究展示了與之相關(guān)的惡意活動(dòng)�����。
分析總量
系統(tǒng)平均每天識別約200000個(gè)NRD���?����?偭吭?5萬到30萬之間波動(dòng)���。圖1顯示了2019年3月10日至5月29日NRD的數(shù)量。一般來說���,在工作日登記的NRD比周末多��,高峰通常在周三����,低谷通常在周日。
![](https://pic.ymw.cn/YuMing/20190919/820190919164702b71057.jpg "\\"W1.webp.jpg\\"/")
TLD分布
并非每個(gè)TLD每天都有新的注冊�����。平均來說�,每天NRD中出現(xiàn)600到700個(gè)獨(dú)特的TLD。圖2列出了注冊最多的前10個(gè)TLD�����?��?梢钥吹?���,.com仍然是最受歡迎的TLD��,它占了最近所有NRD的33%�����。
第二的位置隨時(shí)間變化�����,但主要是在一些ccTLD中��,包括.tk���、.cn和.uk����。例如����,.cn在2018年11月至12月保持第二位。然而�����,從2019年3月到5月�,.tk一直位居第二。這些cctld注冊了大量的nrd�,因?yàn)樗鼈兲峁┟赓M(fèi)的域注冊(例如tk,.ml��,.ga����,.cf和.gq)�。
NRD的使用
為了理解這些新域名注冊的目的�,我們通過PAN-DB的 \r\nurl過濾服務(wù)交叉對比檢查這些域。此服務(wù)通過多種技術(shù)手段對URL進(jìn)行分類���,包括Web內(nèi)容爬行���、惡意軟件流量分析、被動(dòng)DNS數(shù)據(jù)分析����、機(jī)器學(xué)習(xí)和深度學(xué)習(xí)。
為了簡單起見����,我們將類別分為五類:“惡意”“可疑”“不安全工作”“良性”和“其他”。對于惡意URL��,我們有三類����,即惡意軟件���、命令和控制(C2)和釣魚����。對于可疑的URL,我們使用類別待定����、可疑、內(nèi)容不足和高風(fēng)險(xiǎn)����。對于良性的URL,我們使用商業(yè)和經(jīng)濟(jì)���、計(jì)算機(jī)和互聯(lián)網(wǎng)信息以及購物����。任何不符合這些類別的東西都屬于“其他”類別���。圖3顯示了五個(gè)類的細(xì)分����。
超過70%的NRD被我們的pan-db \r\nurl過濾服務(wù)標(biāo)記為惡意�����、可疑或不安全。這個(gè)比率幾乎是Alexa前10000個(gè)域名的10倍��,僅為7.6%��。此外����,我們的pan-db \r\nurl過濾服務(wù)中,惡意類別占了大約1.27%的NRD����。然而,在Alexa排名前10000的域名中���,這個(gè)比例僅為0.07%��。
惡意NRD
為了進(jìn)一步了解惡意NRD的特點(diǎn)�,我們檢查并計(jì)算了每個(gè)TLD的惡意NRD比率���。圖4列出了最近NRD上惡意率最高的前15個(gè)TLD��。TLD具有高惡意率的原因包括注冊成本低或免費(fèi)、注冊政策不嚴(yán)格,以及可隱藏注冊者信息����。
惡意利用
我們分析了觀察到的NRD,發(fā)現(xiàn)NRD與惡意利用相關(guān)用途����,如C2、惡意軟件傳播����、網(wǎng)絡(luò)釣魚、近似域名注冊�、pup/廣告和垃圾郵件。下面是每一個(gè)類別的例子�����。
惡意軟件通常需要回連�����,以便獲取命令�,下載更多有效負(fù)載或執(zhí)行數(shù)據(jù)過濾。用于此目的的惡意域稱為命令和控制(C2)域��。
Soroog[.]XYZ于2019年5月29日首次注冊,在同一天觀察到使用該域進(jìn)行C2的惡意軟件��。到目前為止�,我們已經(jīng)看到七個(gè)使用這個(gè)c2域的惡意軟件樣本。屬于這個(gè)家族的惡意軟件可以自動(dòng)收集敏感數(shù)據(jù)����,包括比特幣錢包和信用卡信息。
圖5捕獲了一部分惡意軟件流量�,其中它正在與C2 \r\nSoroog[.]XYZ進(jìn)行主動(dòng)通信。此域最初托管在IP地址51.68.184[.]115上���。根據(jù)我們的被動(dòng)DNS記錄����,IP在2019年6月24日切換到51.38.101[.]194�。2019年6月26日后,該域變?yōu)镹XDOMAIN(不存在域)��,這個(gè)域存在時(shí)間是非常短暫的��。實(shí)際上�����,對于大多數(shù)用于惡意目的的NRD來說,它們只能存活幾個(gè)小時(shí)或幾天���,有時(shí)甚至在沒有安全供應(yīng)商檢測到之前就被棄用了。
表1進(jìn)一步列舉了該域下的url及其用法�。
惡意軟件傳播
NRD通常用于惡意軟件傳播。這里我們以emotet惡意軟件家族為例���。emotet是一個(gè)銀行木馬���,它嗅探網(wǎng)絡(luò)流量以獲取銀行憑證。它在2014年被發(fā)現(xiàn)�,今天仍然普遍流行。到2019年為止�,我們已經(jīng)觀察到50000個(gè)獨(dú)特的樣本。通常是通過網(wǎng)絡(luò)釣魚攻擊�����,如圖6所示�����,惡意文檔通常以附件的形式出現(xiàn)在網(wǎng)絡(luò)釣魚電子郵件中或來自受攻擊的網(wǎng)站��。文檔通常主要充當(dāng)下載程序,下載和執(zhí)行有效負(fù)載���。下載通常是通過HTTP進(jìn)行的���,我們已經(jīng)觀察到數(shù)千個(gè)下載URL,許多都是在NRD上托管的���。
例如�����,域hvkbvmichelfd[.]信息于2019年5月2日注冊���。就在那之后的四天,5月6日����,我們看到一個(gè)emotet文檔使用了url \r\nhxxxp://hvkbvmichelfd[.]info/skoex/po2.php?L=spond1.fgs下載有效載荷���。有效載荷進(jìn)一步與另一個(gè)NRD \r\nHalanis21yi84alycia[.]top通聯(lián)并下載第二階段有效載荷(圖6中未顯示)���。第二個(gè)域名也于2019年5月2日注冊�。
網(wǎng)絡(luò)釣魚
網(wǎng)絡(luò)釣魚活動(dòng)也經(jīng)常使用NRD���。加拿大域名neflxt[.]com于2019年7月4日注冊���。根據(jù)我們的被動(dòng)DNS記錄,在7月6日開始看到這個(gè)域的流量��,到7月17日它還是一個(gè)活躍的網(wǎng)絡(luò)釣魚站點(diǎn)��。它試圖竊取受害者的Netflix憑證以及賬單信息(圖10)�。還有另一個(gè)域netflix \r\nmail[.]ca也重定向到加拿大neflxt[.]com���。此域于7月11日注冊�����。
這個(gè)網(wǎng)絡(luò)釣魚網(wǎng)站結(jié)合了幾種技術(shù)來隱藏自身不被檢測�����。例如�����,登錄頁面canada \r\nneflxt[.]com/login(圖7a)使用captcha來防止爬蟲程序獲取更多內(nèi)容�。此外,右鍵單擊在登錄頁面上被禁用(圖7b)����。我們認(rèn)為這是為了防止受害者輕易地檢查網(wǎng)站的頁面資源和網(wǎng)絡(luò)流量。輸入電子郵件和密碼后����,我們觀察到未加密的信息被發(fā)送出去。接下來���,受害者將到達(dá)設(shè)置賬單信息的頁面(圖7c)
注冊近似域名
注冊近似域名是一種域名搶注的形式���,利用互聯(lián)網(wǎng)用戶在網(wǎng)絡(luò)瀏覽器中輸入域名時(shí)所產(chǎn)生的拼寫錯(cuò)誤。將仿冒域名貨幣化主要有三種形式�。首先,等待以高價(jià)出售給目標(biāo)域名的所有者(例如facebo0k[.] \r\ncom而不是facebook[.] \r\ncom)��。然而����,根據(jù)我們的分析,大公司在防御性注冊方面做得相當(dāng)好。此外����,還有許多品牌監(jiān)控保護(hù)服務(wù)來幫助防御注冊。因此�����,以這種方式賺錢變得越來越困難���。其次��,要投放廣告或?qū)⒘髁恐囟ㄏ虻綇V告(例如,t-mogbile[.] \r\ncom重定向到verizonwireless[.] com)�����。最基本的想法是使流量貨幣化����。第三,提供惡意內(nèi)容���,如釣魚網(wǎng)頁����、惡意軟件下載等。
在NRDS中廣泛觀察到近似域名注冊現(xiàn)象���。例如����,域mocrosoft[..]cf可能是針對Microsoft的一個(gè)典型的近似域名注冊����。這是因?yàn)樽帜浮癷”和“o”在鍵盤上相鄰,并且可能出現(xiàn)打字錯(cuò)誤�����。該域于2019年6月3日首次注冊����,同一天我們的捕獲了該域的流量。圖8是使用Microsoft \r\nEdge瀏覽它的屏幕截圖��。顯然���,這是一個(gè)試圖竊取用戶登錄憑證的網(wǎng)絡(luò)釣魚頁面���。
![](https://pic.ymw.cn/YuMing/20190919/120190919164726535e.jpg\")
DGA
域生成算法(DGA)是惡意軟件用于定期生成大量域的常用方法��,這些域可以用于C2和數(shù)據(jù)泄漏等惡意目的��。大多數(shù)DGA根據(jù)日期和時(shí)間生成域���。例如,Conficker \r\nC每天生成50,000個(gè)域�。龐大的域名使得執(zhí)法部門工作極為困難。但是��,攻擊者知道算法����,可以預(yù)測在特定日期將生成哪些域。因此�����,攻擊者只要按需注冊一個(gè)或幾個(gè)域���。絕大多數(shù)DGA域看起來非常隨機(jī)。
例如���,ypwosgnjytynbqin[.] \r\ncom是屬于Ramnit家族的DGA域�����。它于2019年7月3日注冊��。三天后的7月6日����,我們觀察到一個(gè)與該域名通信的Ramnit樣本(SHA256:136896c4b996e0187fb3e03e13c9cf7c03d45bbdc0a0e13e9b53c518ec4517c2)。
表2中的下面是一些其他示例��,其中惡意軟件在注冊后不久與DGA域通信��。
PUP和廣告軟件
PUP代表“潛在有害程序”�,在大多數(shù)情況下是廣告軟件。廣告軟件可能不會(huì)像惡意軟件那樣真正損害系統(tǒng)�����。但是�,它通常會(huì)對系統(tǒng)執(zhí)行不必要的更改,例如更改瀏覽器的默認(rèn)頁面����,劫持瀏覽器以插入廣告等�����。有時(shí)廣告軟件的基礎(chǔ)架構(gòu)可以重新用于惡意軟件下載�,從而影響運(yùn)行PUP的主機(jī)���。
installsvpn[.] \r\ncom是為PUP傳播而創(chuàng)建的��。首次在5月10日注冊�,我們開始在5月16日看到這個(gè)域名服務(wù)于PUP�。這是一個(gè)針對iPhone用戶的廣告軟件。圖9顯示了假病毒彈出消息���,它試圖引誘用戶下載并安裝“Secret \r\nVPN”工具��。為了繞過檢測�,本網(wǎng)站僅檢索操作系統(tǒng)信息���,并僅顯示iPhone的警告。對于其他系統(tǒng)�,將返回空頁面。
另一個(gè)例子是llzvrjx \r\n[����。]站點(diǎn)�����,該站點(diǎn)于6月12日注冊并于6月14日開始運(yùn)行����。它是一個(gè)成人網(wǎng)站�����,提供免費(fèi)的流媒體視頻應(yīng)用程序����。我們分析了此應(yīng)用的Android版本,發(fā)現(xiàn)此應(yīng)用附帶了可疑權(quán)限���,例如ACCESS_FINE_LOCATION�����,SEND_SMS和READ_CONTACTS�。
網(wǎng)絡(luò)詐騙
除了嘗試獲取用戶名和密碼等用戶憑據(jù)的網(wǎng)絡(luò)釣魚欺詐����,還有其他類型的在線欺詐�����。根據(jù)我們的分析��,這些騙局也依賴NRD����。下面是幾個(gè)例子����。
獎(jiǎng)勵(lì)詐騙
域名mey12d4[..]xyz于2019年5月13日注冊。同一天�����,我們注意到一個(gè)活動(dòng)���,該域嵌入到一條發(fā)送給受害者的未經(jīng)請求的文本消息中��,如圖10a所示����。該文本消息使用100美元獎(jiǎng)勵(lì)作為用戶單擊鏈接的激勵(lì)���。一旦在瀏覽器中打開����,它將經(jīng)過一系列的重定向�����,最終登陸一個(gè)假的亞馬遜調(diào)查頁面�,如圖10b所示。頁面會(huì)要求填寫信用卡和家庭地址等個(gè)人信息��。
技術(shù)支持詐騙
這種詐騙依靠社會(huì)工程學(xué)�����,通過電話聲稱提供合法的技術(shù)支持服務(wù)����。受害者經(jīng)常被欺騙安裝遠(yuǎn)程桌面訪問工具并通過提供信用卡信息支付服務(wù)。這些騙局通常以一個(gè)網(wǎng)頁開始�����,表明電腦受到了威脅,并指示受害者撥打技術(shù)服務(wù)號碼��。圖11顯示了一個(gè)運(yùn)行示例���,此頁面位于域-alert-m99[.]xyz上�����,該域于2019年7月17日注冊��。同一天��,它開始服務(wù)于技術(shù)支持欺詐頁面�����。
垃圾郵件
垃圾郵件的目的各不相同�,從廣告到魚叉式網(wǎng)絡(luò)釣魚���。圖12顯示了一個(gè)垃圾郵件���,用于分發(fā)有關(guān)退休儲蓄的廣告。它是通過2019年7月4日注冊的mercinogenitor[.] \r\ncom發(fā)送的。垃圾郵件是在7月15日收到的���。
結(jié)論
總而言之���,新注冊域名(NRD)經(jīng)常被攻擊者用于惡意攻擊���,并不限于C2�,惡意軟件分發(fā)�����,網(wǎng)絡(luò)釣魚�,域名搶注,PUP \r\n/廣告軟件和垃圾郵件�。同時(shí),NRD也有好的用途�����,例如推出新產(chǎn)品�����,創(chuàng)建新品牌或活動(dòng),舉辦新會(huì)議或建立新的個(gè)人網(wǎng)站�����。
我們建議使用URL過濾阻止對NRD的訪問�。NRD威脅的風(fēng)險(xiǎn)很大,如果允許訪問NRD�,則應(yīng)設(shè)置警報(bào)以提高危險(xiǎn)的預(yù)知性。我們將NRD定義為在過去32天內(nèi)已注冊或擁有權(quán)變更的任何域名��。分析表明��,前32天是NRD被檢測為惡意的時(shí)間范圍��。
