在2016年夏天进行的之前的DomainTools报告中,我们利用DomainTools广泛的数据集来检查一组词缀(由前缀、后缀和中缀组成)中恶意或中性域名的分布。我们的分析证实,某些词缀确实预示着更高的风险,我们发布的数据表明,哪些词缀在添加到恶意软件、垃圾邮件或网络钓鱼行业屏蔽列表的域名中最具代表性。
随着威胁行为者不断演变他们的策略,我们定期刷新DomainTools报告并更新早期的发现。在最近的DomainTools报告中,我们回到数据中对词缀模式进行了新的研究。我们的目标是确定什么发生了变化,什么保持不变,以及从数据中可以得出什么推论。为了不断发展和完善我们的方法,我们还引入了一种寻找词缀的新方法,它提供了一些有趣的新数据。
你需要知道的
什么是词缀?
名词
af-iks
1.词尾:放在词根、词干或词的开头或结尾,或放在词体中的附加元素,用来修饰它的意思
在本报告中讨论的词缀示例:
www-apple(。com(“apple”前有前缀“www -”)
googlecom(。net(“谷歌”后面加后缀“com”)
wonderfulprizes(。]流(中缀“prize”嵌入在域名中)
方法
我们为这版报告开发了一种寻找可疑词缀的新方法,但我们工作的某些方面与以前的研究保持一致。首先,我们收集了一个词缀列表,这些词缀经常出现在用于网络钓鱼攻击和其他邪恶活动的初始语料库中。然后我们查询我们的数据库,以评估词缀的出现率。接下来,使用知名的行业屏蔽列表提供商,我们比较了这些词缀在屏蔽列表中被识别为垃圾邮件、网络钓鱼或恶意软件的任何域名中的出现率。
我们识别有趣词缀的新技术是这样的:
- 我们将每个现有域名分成三个连续字母的集合,这个过程称为三字母组合。(示例:单词“affix”包含aff、ffi和fix三种威胁)然后,我们使用信号强度算法(如下所述)来识别在垃圾邮件、网络钓鱼和恶意软件这三种威胁类别中过度代表的三种威胁。
- 我们将重叠的高信号三角图组合成更大的单词片段。这为最可能的恶意模式提供了提示(因为三角图本身通常不是单词)。
- 然后,我们根据这些模式生成一个新的词缀列表,并重新运行我们的词缀处理。
有了新的数据集,我们将这些新词缀与之前的列表进行了比较。我们想要回答的一些问题是:
- 某些词缀仍然带有强烈的风险信号吗?
- 在过去的12-18个月里,威胁分子喜欢的词缀有变化吗?
- 恶意活动类型(恶意软件、网络钓鱼、垃圾邮件)是否有不同的词缀星座?
结果
现在您已经对我们的方法和词缀本身有了一些了解,下面是十大网络钓鱼、恶意软件和垃圾邮件词缀。请注意:在这些列表中,词缀在大胆的是那些用我们最初的方法发现的,在之前的研究中没有进入前10名的。斜体的词缀是我们新的词缀搜索方法找到的词缀。
大局
受欢迎词缀的变化代表了对威胁行为者正在发展的多种方式的一个小洞察。网络罪犯非常务实;在我们的十大榜单中发现的新词缀很可能与犯罪分子的可证明的投资回报率有关。与2016年的词缀报告类似,一些关键发现令人惊讶。例如,我们预计会看到前缀“www”和后缀“www”和“com”,但这些似乎在一段时间内仍会出现在我们的前10名列表中,但我们没想到会看到“菠萝”或“计划-cul”。一个有点令人沮丧的趋势是,犯罪分子通过使用“升级”、“更新”和“安全”等词的变体来获得明显的收益;似乎受害者正在成功地被这些术语所吸引。
这些信号与我们研究过的其他特征结合起来可能非常有价值。我们的威胁概要算法利用域的各种属性建立域的风险预测模型。这些词缀是一种属性的例子,可以在统计相关的范围内对危险或令人讨厌的域名进行分类。
与此同时,我们希望这些分析对安全专业人员、研究人员和其他有兴趣更好地了解域名注册数据中有关恶意活动的大规模模式的人有所帮助。
欲了解包括其他关键要点和历史趋势在内的完整情况,请下载完整的DomainTools报告.
