用于收集垂纶、歹意软件和欺骗:针对攻击者滥用新注册域名的研讨与剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

用于收集垂纶、歹意软件和欺骗:针对攻击者滥用新注册域名的研讨与剖析

申博_安全预警 申博 230次浏览 已收录 0个评论

一、实行择要

尽人皆知,新注册域名(NRD)一向以来都遭到进击者的喜爱,被广泛运用于歹意进击当中。依据学术界和行业的研讨报告,已以统计学体式格局证明了新注册域名确切存在风险,同时展示了进击者怎样歹意运用新注册域名,详细包括网络垂纶、歹意软件和诳骗。因而,最好平安实践请求我们阻挠并亲昵监测企业流量中的新注册域名。只管有一些证据指向这个看法,但现在还没有研讨职员针对实在样本中新注册域名的歹意运用体式格局和要挟举行周全的研讨。为此,本篇文章将针对歹意进击者滥用新注册域名的案例举行研讨与剖析。

凌驾9年时候里,我们一向对新注册域名举行跟踪。我们与互联网称号与数字地点分派机构(ICANN)以及种种域名注册机构和注册商坚持协作,从而使得我们可以直接掌握在通用顶级域名(gTLDs)和国家和地区代码顶级域名(ccTLD)下的许多新注册域名。我们还经由历程运用数据源的组合间接辨认新注册域名,这些数据源包括WHOIS、地区文件和被动式DNS。我们独占的新注册域名资本由1530个顶级域名构成,据我们现在所相识,这是当前市场上最高质量的公然供应新注册域名效劳。

依据我们的剖析,有凌驾70%的新注册域名都是歹意的、可疑的或不平安的。这个几率要比在Alexa TOP 10000域名中视察到的数目凌驾10倍。另外,大多数歹意用处的新注册域名都是异常短暂的,它们只存在几个小时或许几天,偶然以至只存在于没有任何平安厂商检测到歹意域名的时期内。正因云云,在企业的预防性平安步伐中才应当斟酌怎样阻挠新注册域名。

在本文中,我们供应了一些关于近期新注册域名的高等统计数据,并依据对样本举行研讨,证明了与之相干的滥用状况和要挟,末了议论了最好实践的体式格局。

二、高等统计效果

2.1 统计

我们的体系均匀天天辨认约莫200000个新注册域名,总量在150000到300000之间波动。下图展示了2019年3月10日至5月29日时期的新注册域名数目。一般状况下,工作日的新注册域名数目一向大于周末的新注册域名,峰值一般涌现在周三,谷值一般涌现在周日。

每日新注册域名统计:

用于收集垂纶、歹意软件和欺骗:针对攻击者滥用新注册域名的研讨与剖析

2.2 按顶级域统计散布

并不是每一个顶级域(TLD)天天都有新注册域名。均匀而言,天天悉数新注册域名共涉及到600-700个顶级域。下图列出了注册数目最多的前10个顶级域。该散布图基于2019年3月到5月之间的数据集取均匀值。可以看出,只管.com顶级域是在34年前(1985年3月15日)推出的,但它仍然是最受迎接的顶级域,占近来一切新注册域名的33%之多。

第二名会跟着时候而有所变化,但大多数状况下都会是在比较小众的ccTLD当中,比方.tk、.cn、.uk。举例来讲,在2018年11月到12月时期,.cn一向坚持在第二位。但在2019年3月到5月时期,.tk一向排在第二位。个中有一些ccTLD之所以包括大批新注册域名,是因为它们供应了免费域名注册(比方:.tk、.ml、.ga、.cf和.gq)。

新注册域名的运用状况:

用于收集垂纶、歹意软件和欺骗:针对攻击者滥用新注册域名的研讨与剖析

为了弄清楚这些新注册域名的用处,我们会依据PAN-DB URL过滤效劳的分类对这些域名举行交织搜检。该效劳借助一系列手艺对URL举行分类,所运用的手艺包括Web内容爬虫、歹意软件流量剖析、被动式DNS数据剖析、机械进修和深度进修。为简朴起见,我们共将域名分红五个种别,分别是:歹意、可疑、不平安、良性和其他。针对个中的歹意URL,我们再细分红三类,分别是:歹意软件、敕令和掌握(C2)和网络垂纶。针对个中的可疑URL,我们将其分为:停靠、可疑、不充分的内容和高风险这四类。针对个中的不平安URL,我们将其细分为袒露、成人内容、赌钱、不平安的运动这四类。针对个中的良性网址,我们将其细分为贸易与经济、计算机与互联网信息、购物这三类。关于任何不适用上述分类的URL,我们都将其一致归为其他类。上图右边展示了这五个大类的细分。

有凌驾70个新注册域名都被我们的PAN-DB URL过滤效劳标记为歹意、可疑或不平安。这一几率是Alexa TOP 10000域名中几率的10倍,仅仅占了7.6%。另外,在我们的PAN-DB URL过滤效劳中,歹意分类仅占新注册域名的1.27%。然则,在Alexa TOP 10000域名中,这个比例仅仅是0.07%摆布。

2.3 歹意新注册域名

为了进一步相识歹意新注册域名的特性,我们确认并计算了每一个顶级域中新注册域名的几率。下图列出了近期新注册域名中歹意域名几率最高的前15个顶级域。个中有多数是国家和地区顶级域名(ccTLD)。针对详细的顶级域名,假如具有较高的歹意域名率,个中的一些缘由多是注册域名价钱较低、供应免费注册效劳、注册体式格局不严厉、不公然显现WHOIS注册者信息等。

近期新注册域名中歹意域名几率最高的前15个顶级域:

三、歹意滥用及要挟

接下来,我们议论新注册域名的歹意滥用。我们对借助URL过滤东西、WildFire、DNS平安这些产物和效劳所视察到的新注册域名举行了剖析,发明新注册域名每每与歹意滥用和要挟相干联,个中包括C2、歹意软件分发、网络垂纶、域名仿冒、潜伏有害顺序/广告邮件和垃圾邮件。我们对个中每一个分类举行了重点剖析,并列举出了一些现实中的现实样本。

3.1 C2域名

关于歹意软件来讲,一般要打电话回老巢,以此来猎取敕令,下载更多Payload或完成数据盗取。用于上述目的的歹意域名被称为敕令和掌握(C2)域名。

域名soroog[.]xyz在2019年5月29日初次注册,我们在注册的当天就视察到存在运用该域名作为C2的歹意软件。到现在为止,我们已发明有7个AzoRult歹意软件样本运用该C2域名。属于此系列的歹意软件可以自动网络敏感数据,比方比特币钱包和信用卡信息。

下图中,展示了我们捕捉的一部份歹意流量,个中发明它正在与C2 soroog[.]xyz举行通讯。该域名最初被托管在IP地点51.68.184[.]115。依据我们的被动式DNS纪录,该域名解析的IP地点在2019年6月24日以后切换为51.38.101[.]194。而在2019年6月26日以后,该域名变成NXDomain(不存在的域名)。正如我们所看到,这个域名的生计周期异常短暂。现实上,大多数用于歹意目的的新注册域名都是云云,它们仅仅存活了几个小时或许几天,偶然以至只存在于没有任何平安厂商检测到歹意域名的时期内。正因云云,在企业的预防性平安步伐中才应当斟酌怎样阻挠新注册域名。

AzoRult C2流量的数据包捕捉:

用于收集垂纶、歹意软件和欺骗:针对攻击者滥用新注册域名的研讨与剖析

下面进一步列举了该域名下的C2 URL及其用法,假如想要深切相识该歹意软件的行动,可以参考我们公然的两份剖析报告。

URL及对应的用法:

soroog[.]xyz/addbot 注册一个新的僵尸主机

soroog[.]xyz/wallets 发送被盗取的(加密钱银钱包)信息

soroog[.]xyz/suicide 报告自我删除

soroog[.]xyz/task 注册新的使命

soroog[.]xyz/cpu 发送新的CPU信息

3.2 歹意软件分发

新注册域名一般被用于歹意软件分发。在这里,我们以Emotet歹意软件系列为例。Emotet是一种银行木马,可以嗅探网络流量以猎取银行凭据。只管该木马早在2014年就已被发明,但它在本日仍热广泛盛行。到现在为止,我们在2019年已视察到了50000个奇特的样本。最初的投放是经由历程网络垂纶进击来完成的。如下图所示,歹意DOC一般在网络垂纶电子邮件中涌现,以邮件附件的体式格局存在。这个DOC文档一般用作下载顺序,将会下载并实行下一步骤的Payload。下载历程一般是经由历程HTTP协定举行的,我们视察了数千个下载URL,个中有许多都是在新注册域名上托管的。

Emotet歹意软件分发链:

举例来讲,域名hvkbvmichelfd[.]info是在2019年5月2日注册的。但仅在4天以后,5月6日,我们就看到Emotet DOC运用URL hxxp://hvkbvmichelfd[.]info/skoex/po2.php?l=spond1.fgs来下载更多Payload。值得关注的是,Payload进一步联系了另一个新注册域名,halanis21yi84alycia[.]top,以下载第二阶段的Payload(上图未标明)。第二个域名也是在2019年5月2日注册。

假如想要相识有关Emotet的更多信息,可以参考我们的两篇公然文章。

3.3 网络垂纶

网络垂纶运动一般也会运用新注册域名。域名canada-neflxt[.]com是在2019年7月4日注册的。依据我们的被动式DNS纪录,我们在2019年7月6日起看到该目的的流量,发明它直到7月17日才成为一个活泼的网络垂纶站点。该历程当中,会试图盗取受害者的Netflix凭据以及账单信息。另外,另有另一个域名netflix-mail[.]ca也可以重定向到canada-neflxt[.]com,前者域名已在7月11日注册。

该网络垂纶网站采用了多种手艺,以便将其隐蔽在自动检测要领以外。比方,登录页面canada-neflxt[.]com/login(如下图所示)运用验证码来防备爬虫爬取太多内容。另外,在登录页面上仅用了右键单击,我们以为这可以防备受害者更轻松地搜检网站的页面资本和网络流量。在输入用户名和暗码后,我们发明会发出一个未经加密的信息。接下来,受害者将可以接见用于设置账单信息的界面。

登录界面与Captcha:

用于收集垂纶、歹意软件和欺骗:针对攻击者滥用新注册域名的研讨与剖析

登录界面带有登录表单,而且右键单击被禁用:

用于收集垂纶、歹意软件和欺骗:针对攻击者滥用新注册域名的研讨与剖析

结算页面并网络结算信息:

3.4 域名仿冒

近似域名抢注是域名抢注的一种细分情势,重要运用互联网用户在网络浏览器中输入域名时所能够发生的拼写错误。在完成域名仿冒后,大抵有三种重要收益体式格局。

CVE-2019-0576:CVE-2018-8423补丁绕过题目剖析

简介 2019年7月,微软修复了Jet Database Engine(Jet数据库引擎)中的43个bug,其中10个拥有CVE编号。之前研究人员分析了CVE-2018-8423漏洞产生的根源,在分析该漏洞的补丁时,研究人员发现有一种绕过该漏洞的方法,研究人员将该漏洞报告给微软,微软于2019年1月的补丁中修复了该来的,该漏洞CVE编号为CVE-2019-0576。研究人员建议用户更新系统到最新版本。 本文将介绍CVE-2019-0576漏洞的根源。为

第一种,可以守候以高价出售给目的域名的一切者(比方:facebo0k[.]com仿冒了facebook[.]com)。然则,依据我们的剖析,大型企业在防备域名抢注(域名仿冒)方面都做得广泛较好。另外,另有许多品牌监控和庇护效劳,可以协助举行防备性注册。因而,假如进击者以这类体式格局取得收益,他们的赢利体式格局会变得愈来愈难题。

第二种,是投放广告,或将流量重定向到广告或仿冒域名所对应实在域名的竞争对手(比方:t-mogbile[.]com会重定向到verizonwireless[.]com)。在这里,一个症结思绪就是怎样将主意经由历程流量的体式格局变现。假如流量足够大,现实上可以赚取到比注册费(一般每一年不到10美圆)更多的收入,如许做从经济角度来看是适宜的。

第三种,是供应歹意内容,比方仿冒原始网页的页面,暗中下载歹意软件等。

在新注册域名中,我们视察到存在大批的域名仿冒状况。比方,域名mocrosoft[.]cf多是针对Microsoft的仿冒域名。之所以挑选这个仿冒称号,是因为字母“i”和“o”在典范键盘上相互相连,打错的能够性比较高。该域名在2019年6月3日初次注册,在注册当日就发明存在接见纪录。下图是运用Microsoft Edge浏览器接见该网页的屏幕截图。明显,这是一个试图盗取用户登录凭据的仿冒页面。

带有捏造用户登录表单的网络垂纶页面:

用于收集垂纶、歹意软件和欺骗:针对攻击者滥用新注册域名的研讨与剖析

3.5 域名天生算法DGA

域名天生算法(Domain Generation Algorithm,DGA)是歹意软件用于按期天生大批域名的常常使用要领,这些域名可以用于C2或盗取数据等歹意目的。大多数DGA依据时候和日期来天生域名。比方,Conficker C天天天生50000个域名。巨大的域名局限使得执法部门很难对其举行完全关停。然则,进击者掌握算法,因而可以展望在特定日期将会天生哪些域名。因而,进击者只需要依据现实需求,在特定日期注册一个或多个域名即可完成进击。绝大多数DGA域名看起来都异常随机。

比方,ypwosgnjytynbqin[.]com是属于Ramnit系列歹意软件的DGA域名,在2019年7月3日注册。在3天事后的7月6日,我们视察到一个与该域名举行通讯的Ramnit样本(SHA-256:136896c4b996e0187fb3e03e13c9cf7c03d45bbdc0a0e13e9b53c518ec4517c)。

下表列举了别的一些示例,个中歹意软件在注册后不久就与DGA域名举行通讯。

运用域名天生算法的新注册域名与关联的歹意软件列表:

C2域名:eqbqcguiwcymao[.]info

注册日期:2019-01-17

歹意软件SHA-256:6e812122f3067348580f06a1c62068cf7d3bf05a86e129396d51dd7666bcf7b9

歹意软件初次发明日期:2019-01-21

歹意软件家属:Pykspa

C2域名:aaqkekyaum[.]org

注册日期:2019-04-13

歹意软件SHA-256:418dd3d94d138701f06c58ffb189dfae08c778fb9ad3859dbb7a301f299a8e55

歹意软件初次发明日期:2019-04-13

歹意软件家属:Pykspa

C2域名:qgasocuiwcymao[.]info

注册日期:2019-06-12

歹意软件SHA-256:72748e6e2a3260e684f295eafcb8dd5b9927d15c41857435dfa28fd473eeccc4

歹意软件初次发明日期:2019-06-13

歹意软件家属:Pykspa

C2域名:litvxvkucxqnaammvef[.]com

注册日期:2019-04-11

歹意软件SHA-256:de51942e72483067aaeae3810bc4a24b8e12a782b3a59385989f9fccba08e421

歹意软件初次发明日期:2019-04-13

歹意软件家属:Ramnit

3.6 潜伏有害顺序/广告软件

PUP代表“潜伏有害顺序”,在大多数状况下都是广告软件。广告软件能够不会像歹意软件那样真正损伤体系。然则,它一般会对体系举行不必要的变动,比方变动浏览器的默许页面、挟制浏览器并插进去广告等。偶然,潜伏有害顺序/广告软件的基本架构可以被进击运动中的歹意软件从新运用,从而对存在潜伏有害顺序的主机形成风险。

installsvpn[.]com就恰是为潜伏有害顺序分发而建立的,该域名初次注册于2019年5月10日,我们在5月16日就最先监测到这个域名是用于域名天生算法。特别是,这是一个针对iPhone用户的广告软件。下图弹出的是子虚的病毒提醒信息,试图指导用户下载并装置“Secret VPN”东西。为了绕过检测,网站上仅检索操作体系信息,并将仅显现针对iPhone的正告。针对其他体系,将直接返回空页面。

捏造病毒正告弹出窗口:

用于收集垂纶、歹意软件和欺骗:针对攻击者滥用新注册域名的研讨与剖析

另一个例子是llzvrjx[.]site域名,该域名在2019年6月12日注册,并在6月14日最先运转。这是一个成人网站,供应免费的流媒体视频运用顺序,我们剖析了这个运用的Android版本,发明该运用顺序默许附带了值得小心的权限,比方:ACCESS_FINE_LOCATION、SEND_SMS和READ_CONTACTS。该网页还针对移动用户做了适配和定制。个中包括一个隐蔽的JavaScript,可以经由历程搜检浏览器的用户代办来隐蔽桌面用户或爬虫。

3.7 诳骗

除了重要尝试猎取用户凭据(比方用户名和暗码)的网络垂纶诳骗以外,另有其他范例的在线诳骗。依据我们的剖析,这些圈套也依赖于新注册域名,下面是一些案例。

(1)嘉奖诳骗:域名mey12d4[.]xyz在2019年5月13日注册。同一天,我们视察到一个歹意运动将该域名嵌入到发送给受害者的未经请求的短信中,如下方左图所示。在短信中,进击者运用“100美圆嘉奖”引诱用户点击链接。一旦用户点击链接,在浏览器中翻开网页,将会阅历一系列重定向,终究接见了子虚的Amazon观察页面,如下方右图所示。我们点击了“观察”,并进入到了一个页面,个中请求供应信用卡和家庭住址这类个人信息。

用于收集垂纶、歹意软件和欺骗:针对攻击者滥用新注册域名的研讨与剖析

(2)手艺支撑团队:这类范例的诳骗要依赖于社会工程学,进击者经由历程电话宣称供应正当的手艺支撑效劳。受害者常常以“装置远程桌面接见东西”和“经由历程供应信用卡信息来付出支撑用度”的名义被诳骗。诳骗历程一般会从一个网站最先,歹意职员会虚拟计算机存在破绽(遭到破坏),并指导受害者拨打手艺支撑号码。下图展示了一个现实案例,该页面托管在域名system-alert-m99[.]xyz。在同一天,它最先效劳于手艺支撑诳骗界面。

用于收集垂纶、歹意软件和欺骗:针对攻击者滥用新注册域名的研讨与剖析

(3)从新付出诳骗:近期,Unit 42团队的成员在文章中提到了“从新付出”的诳骗体式格局。基本上来讲,受害者都会被欺骗少许的钱来试用减肥药产物。然则,有一个小小的细则表明,“假如你在特定时候内没有作废定阅,那末你将被按期收取更高的金额”。个中详细给出的付出金额异常惊人,可所以50美圆到100美圆之间。此类诳骗中运用的大多数域名都是新注册域名,比方ketoweightlosspillsreviews[.]com就是在近来的6月1日注册的。有关此诳骗要领的其他信息,可以参阅博客文章。

3.8 垃圾邮件

垃圾邮件一般是指未经请求的邮件,进击者首先会以差别体式格局网络批量的电子邮箱地点,随后再发出邮件。垃圾邮件的目的各不相同,从歹意软件到鱼叉式网络垂纶。下图展示了一个垃圾邮件,重如果用于散布有关退休储备的广告。该邮件是由2019年7月15日收到的。但不出所料的是,Google在收到时就将其检测为垃圾邮件。

新注册域名发出的垃圾邮件:

用于收集垂纶、歹意软件和欺骗:针对攻击者滥用新注册域名的研讨与剖析

四、总结

总而言之,新注册域名(NRD)常常会被歹意行动者滥用,以展开歹意目的,个中包括但不限于C2、歹意软件分发、网络垂纶、域名抢注、潜伏有害顺序/广告软件和垃圾邮件。同时,也有许多良性用处,比方推出新产物、建立新品牌或运动、举行新集会或建立新的个人网站。

在Palo Alto Networks,我们发起运用URL过滤的体式格局阻挠对新注册域名的接见。只管这一步伐存在潜伏的误报风险,能够会被一些人以为比较激进,但现实上新注册域名遭受的风险峻大得多。最少来讲,假如许可接见新注册域名,应当设置警报来进步可见性。我们将新注册域名定义为在过去32天内注册或变动一切权的任何域名。经由历程剖析表明,32天是有助于新注册域名被反病毒软件检测为歹意的最好时候局限。

正如本文的顶级域名(TLD)部份所示,我们以至阻挠重要由进击者运用的顶级域名。固然,每一个构造在阻挠悉数顶级域名时,必需要相识他们对潜伏误报的容忍度。

客户可以经由历程URL过滤、DNS平安、WildFire和要挟防护来完成庇护,也可以找到本文中所提到的歹意目标并举行自动剖析。

本文翻译自:https://unit42.paloaltonetworks.com/newly-registered-domains-malicious-abuse-by-bad-actors/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明用于收集垂纶、歹意软件和欺骗:针对攻击者滥用新注册域名的研讨与剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址