简介
现在是另一个DomainTools报告的时间!有些读者可能还记得,自从第一次DomainTools 2015年报告,我们试图探索我们的域名注册、托管和内容相关数据的存储,以显示可能感兴趣的模式和趋势致安全从业者、研究人员和其他对可疑或恶意使用在线基础设施感兴趣的人。几份报告都有特定的重点领域,从顶级域名和电子邮件隐私提供商(2015年)到域名中的词缀(2016)域“开花”和“峰值”(2021年春季)。
对于这个版本,我们选择“回归基础”,并通过六类域特征关注恶意活动的集中,其中一些我们在以前的报告中也研究过。我们预计,在可预见的未来,一些标准(如顶级域名、IP自治系统编号和IP地理位置)仍将保持相关性;也就是说,作为与域名相关的数据点,除非互联网的基本结构发生改变,否则这些数据不太可能变得不那么有法律价值。其他数据点的相关性可能有增有减。例如,电子邮件隐私提供商作为一个领域特征,在大多数注册的默认隐私的后gdpr世界中相关性显著降低.
但所有这些报告的不变之处在于,我们有兴趣深入了解互联网上潜伏的恶意活动,目的是最终帮助社区更好地领先于那些希望在网上造成伤害的实体。
评估领域特征
为这个版本在报告中,我们检查了域的以下特征:
- 顶级域(TLD);例如。com或。net
- IP自治系统号(ASN);这些表示域托管的一个方面
- 命名服务器ASN;它们表示与域关联的命名服务器的宿主
- IP地理位置:与域的IP地址位置相关联的国家代码
- 注册商:域名注册的实体
- SSL证书颁发机构(CA):域关联证书的CA
我们选择这些特征是因为防御者和安全研究人员经常使用它们作为构建对域更好理解的过程的一部分.经验丰富的从业者通常根据他们在分析对手资产时的经验、专业知识和判断,对给定特征的含义形成直觉。在许多情况下,大规模的数据倾向于支持这些直觉。例如,某些顶级域名在安全分析师中被称为危险的互联网“社区”正如本报告和之前的DomainTools报告所显示的,确实有一些顶级域名具有高度集中的恶意域名。其他标准则更为模糊;例如,我们将看到,当涉及到SSL证书颁发者时,一些读者可能会对这种大规模分析所显示的(或没有显示的)危险所在感到惊讶。
DomainTools报告的方法论
为了确定恶意活动的热点,我们计算了所谓的“信号强度”。与中性信号相比,高信号强度值意味着所讨论的特征在已知坏域的总体中被过度代表。恶意域名在特定群体(IP地址、名称服务器、注册商等)中的比例越大,我们就越相信该群体中的任何未知域名可能涉及相关威胁。
对于六个领域特征中的每一个,报告给出了“前十”表格,按信号强度排序,针对三种威胁类型(网络钓鱼、恶意软件、垃圾邮件)。每个表还包括与该项相关联的域的实际计数。作为一个例子,考虑TLD部分的这一行数据:
TLD. bar恶意软件的信号强度是108.93(根据我们的方法,这是互联网上所有顶级域名中最高的恶意软件信号)。根据我们使用的屏蔽列表,该顶级域名中有6321个域名的主要威胁类型是恶意软件。为了进行比较,我们还给出了与TLD相关的钓鱼、垃圾邮件和中立域名的数量。提醒一下,所有考虑中的域名都在被动DNS中显示了最近的活动截至快照拍摄的时间,因此这些数字不包括与该TLD相关的非活动域名。
报告发现:一些确认,一些意外
我们不会在这里剧透太多,但我们会说,我们认为读者会发现一些结论与他们的预期一致,而另一些则更令人惊讶.一般来说,防御者和研究人员在调查可疑或已知的不良基础设施时,已经开始预期某些模式。可以这么说,今年报告中更令人惊讶的结果让我们想起了我们许多人在第一份DomainTools报告中所认为的令人惊讶的发现大多数新创建的域名每天都没有显示出强烈的恶意信号.新域名是危险的,这几乎成了捍卫者们的信条,但数据却恰恰相反。然而,我们赶紧补充一下,与此相反的情况确实符合预期:事实上,大多数恶意域名都很年轻.我们认为有几点值得考虑:
- 作为一个辩护者,你的直觉可能是好的,但要意识到在假设特定数据点可能反映领域风险时的确认偏差
- 背景决定一切!在某些情况下,给定的数据点可能在统计上对领域风险没有多大意义,但当该数据点与其他数据点结合时,情况可能会非常不同(并且可能有助于加强您的直觉)。
- 毫无疑问,在互联网上有一些真正的恶意活动热点,尽管有些域名的数量很小,但它们仍然可以发挥重要作用,具有法律价值。
我们邀请您下载报告并查看调查结果!
