站在權威解析服務器看惡意軟件域名生態(tài)
責編:gltian |2023-08-08 18:19:40工作來源
ACSAC 2022
工作背景
之前利用域名分析惡意軟件生態(tài)的努力,都存在一定缺陷。例如,基于沙盒研究無法跟蹤在野情況;基于 Passive DNS 受限于數(shù)據(jù)視野;基于主機研究依賴于預先安裝的軟件;基于水坑研究錯過了最開始的感染階段。
RFC 7811 引入了 EDNS 客戶端子網(wǎng)(ECS)的概念,支持遞歸解析服務器不在客戶端附近時通過地理位置優(yōu)化 DNS 響應。ECS 在從遞歸解析服務器發(fā)送到權威解析服務器的請求中會包含客戶端 IP 地址的一部分,權威解析服務器能夠根據(jù)客戶端請求所屬的地理位置進行回復。
工作準備
收集 2017 年 2 月 9 日到 2021 年 6 月 30 日間,權威解析服務器的 DNS 數(shù)據(jù)。數(shù)據(jù)包括:遞歸解析服務器 IP 地址、解析的域名、權威響應以及 ECS 查詢客戶端 IP 子網(wǎng)。
收集 2018 年 1 月到 2021 年 4 月間,在沙盒中執(zhí)行可疑的 Windows 程序,所對應的 DNS 流量。并且獲取樣本相關的 VirusTotal 信息(僅取 17 個引擎),使用 AVClass2 提取最相關標簽。
利用 CAIDA 提供的 Prefix-to-AS 數(shù)據(jù)集與 RIR 提供的 ASN-to-自治系統(tǒng),為 IP 提供所屬信息。另外,開源解決方案中 ASdb 提供的粒度太粗,最后還是選用商業(yè)數(shù)據(jù)集為 IP 標記行業(yè)。聯(lián)合國統(tǒng)計司提供了國際標準行業(yè)分類(ISIC)代碼與業(yè)務類型的映射關系,本文使用的也是如此。
數(shù)據(jù)詳情
發(fā)現(xiàn)權威解析數(shù)據(jù)中出現(xiàn)的惡意域名,過濾掉 Tranco 中排名靠前的域名,過濾得到 12212 個有效二級域名(e2LD)。這些域名與 174112 個惡意軟件有關,98.96% 的樣本在 VirusTotal 上已有,已有樣本的 99.97% 都被標記為惡意。
利用 VirusTotal 擴展了 70898 個樣本,共計 245010 個樣本。經(jīng)過 AVClass2 的處理,有 81750 個樣本被分配了 SINGLETON 標簽丟棄,剩下的 161322 個(66.37%)樣本歸屬于 202 個不同的惡意軟件家族。按照域名數(shù)量統(tǒng)計 TOP 15 的惡意軟件家族如下所示:
其累計分布如下所示,大多數(shù)域名只與少數(shù)惡意樣本相關(57% 的域名與少于三個樣本相關)。
這些域名中,至少 76.7% 的惡意域名至少有一個歷史 URL 被標記為惡意。惡意域名的日請求量如下所示:
每日請求中 17.9% 都是 ECS 的。
工作評估
C&C 服務器
分析了 6400 個域名,指向 151 個國家/地區(qū)的 399830 個 IP 地址。此前,Tajalizadehkhoob 和 Mezzour 都發(fā)現(xiàn)合法平臺上部署 C&C 服務器的分布與合法平臺的規(guī)模強相關,與其安全管理是否嚴格弱相關。
25.7% 的 IP 地址與單個惡意軟件家族有關,6.6% 的 IP 地址與超過 10 個惡意軟件家族有關。例如 AS29075 的 IP 地址與 94 個惡意軟件家族的 715 個惡意域名有關,而該 IP 地址是一個被廣泛使用的代理。
域名與樣本、域名與 IP、域名與國家之間數(shù)量的關系如下所示:
客戶端
惡意軟件的感染是全球范圍的:
從統(tǒng)計來看也是這樣:
71.3% 的惡意軟件家族都存在來自超過一百個國家與地區(qū)的查詢,而且國家內(nèi)的計算資源越密集,感染也就越多。
行業(yè)
在 397 億次惡意域名請求中,大約 70.7% 能夠被打上行業(yè)標簽。
其中 15 個行業(yè)都會受到超過一半的惡意軟件家族的影響。72.7% 的惡意軟件家族也會影響超過 10 個行業(yè)。
每年抽取七天的采樣,如上所示。教育行業(yè)的安全性也令人擔憂。
生命周期
只保留在觀測期內(nèi)只注冊過一次的惡意域名,為 2308 個域名占 18.9%。
注冊到檢測的窗口相對較短,75% 的域名大約為 19 天甚至更少。檢測到刪除相對更長,大約 23 天。
大型云服務提供商(亞馬遜)、大型域名解析服務提供商(谷歌)與大型電信公司(Vimpelcom 與 Level3),在初期數(shù)量較多。檢測到后,掃描器(GEORGIA-TECH)、安全公司(MFENET – McAfee 和 PAN0001 – PALOALTO NETWORKS)就沖了上來。在刪除后電信公司的數(shù)量較大,可能是遲滯感染等原因。
工作思考
觀測位置不同會帶來數(shù)據(jù)視角的差異,也會對判斷帶來影響。站在權威解析服務器的視角下查看惡意域名,在生命周期中各個階段的情況也會更加清晰。
來源:威脅棱鏡
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術與應用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡與信息法治建設回顧