在DomainTools报告,我们探索了互联网上各种恶意或滥用活动的“热点”。从2015年春季的第一份报告开始,我们分析了顶级域(TLD)、Whois隐私提供者、域年龄、注册者行为模式等不同的标记。在每一种情况下,我们都在数据库中发现了全球超过3亿个(截至撰写本文时超过3.15亿个)活动域的模式,这些模式帮助我们大规模地确定了恶意活动,其方式与安全分析师和威胁搜索者在较小规模下暴露威胁参与者基础设施时使用的方法类似。
很明显,威胁行为者(如恶意软件、网络钓鱼)和“滋扰行为者”(如垃圾邮件)的行为习惯通常遵循可观察到的模式。网络防御者利用这一点来映射针对他们的基础设施;一个简单的例子是,不法的域名注册人对多个用于进行攻击的域使用相同的注册信息。类似的模式在互联网规模上也有应用,其中一些模式已经被证明在预测共享特定模式的特定域是否有风险方面是有用的。
虽然到目前为止,每一份报告都专注于不同的一套标准,但我们的目的始终是寻找趋势。所以,有了几年的数据,为本报告我们重新运行了一些最初的分析,看看自2015年春天发布第一份报告以来,世界是如何变化的——或者保持不变的。通过识别趋势,我们可能反过来能够从这些趋势中推断出威胁行为者未来可能如何使用互联网基础设施的高级预测。
我们是怎么做到的
与我们最初的报告一样,我们研究了四个领域的特征,看看与这些特征相关的不法活动的数量和速率出现了什么模式:TLD, Whois隐私提供商(以私隐方式注册的域名),免费电子邮件供应商(登记联络电邮地址),及IP地理位置与域相关联的IP地址。使用知名的行业区块列表提供商,我们分析了区块列表域与中立域的数量,针对四个特征中的每一个。这给了我们坏域的绝对数量和好域与坏域的比率。
我们研究了四种特定类型的邪恶活动:垃圾邮件、网络钓鱼、僵尸网络和恶意软件.可以肯定的是,有些域名可能不完全属于这一类——例如,一个钓鱼域名可能包含恶意软件,甚至可能接收僵尸网络回调命令和控制。无论如何,这种方法允许我们在我们研究的每个维度上确定邪恶领域的浓度和高绝对种群。
我们发现了什么?
- 恶意活动最集中的顶级域(TLDs)是今年的新专辑例如,在。science中超过60%的域名被添加到行业黑名单中。今年前十的许多公司在2015年还没有开放注册。因为新的顶级域名正在以很高的速度上线,我们预计在未来的报告中,顶级域名的排名将继续出现很大的变动。
- 在Whois的隐私服务中,也发生了相当大的变化;2017年排名前十的榜单中,只有三家在2015年排名前十.onamae.com是恶意活动集中程度最高的提供商,其数量也相对较高截至本文撰写时,恶意域名超过111000个.值得记住的是,使用Whois的隐私本身并不能很好地预测域名中的恶意行为。
- 在免费电子邮件提供商(在域名Whois记录中的注册电子邮件字段中有代表)中,今年恶意域名集中度前十的许多域名也在2015年的顶级排名中。然而,有一个很突出:mynet.com在2015年没有排名,2017年上升到第一名,有超过60%的相关域名出现在行业黑名单上。
- 有害物质的地理分布也发生了变化今年排名前十的榜单中,有四个在2015年根本没有上榜.2015年和2017年,加入行业屏蔽名单的域名集中程度最高的国家是柬埔寨,该国约80%的域名被屏蔽。
这是什么意思呢?
TLD领域正处于一个非常明显的快速变化状态,但即使我们的下一个TLD分析显示前十的游戏发生了巨大变化,但今年这类游戏的黑名单率极高(游戏邦注:没有一个游戏的浓度低于15%左右)也让这些顶级游戏值得关注。同样地,地理位置和免费电子邮件提供商显示了一些非常集中的恶意活动,这使得它们在检查流量日志中看到的域时成为有价值的取证或防御标准。只有Whois隐私提供商的集中度相对较低,除排名第一的提供商外,其他提供商的集中度都低于10%。
我们将继续监测这四个域名属性的绝对数量和趋势,以及我们在DomainTools报告的其他版本中检查过的其他内容(如域名年龄、名称服务器域名年龄、注册者行为等),以帮助描绘更详细的互联网上危险或有害活动的逻辑和物理热点。同时,我们希望我们的报告能够对研究人员、网络捍卫者以及任何对不断变化的互联网安全前景感兴趣的人有所帮助。
最后,热烈欢迎我们的研发副总裁Michael Klatt!Michael为这个报告和所有之前的报告做了大部分繁重的工作。请欣赏下面迈克尔描述报告背后方法论的简短播客,或者请参加我们5月18日的网络研讨会太平洋时间上午10点/东部时间下午1点:
感谢阅读,祝大家探索愉快!
