(文/Palo Alto Networks(派拓网络)威胁情报团队Unit 42)网络犯罪分子利用域名在互联网上的重要作用,注册与现有域名或品牌相关的名称,意图从用户犯错中谋利。这种行为称为“域名抢注”,虽然域名抢注不一定对用户有害,但遭抢注的域名经常被利用或变更以用于网络攻击。
Palo Alto Networks(派拓网络)威胁情报团队Unit 42旗下的域名抢注检测系统发现,2019年12月间共有13,857个域名遭抢注,平均每天450个。情报团队发现,其中有2,595个 (18.59%)遭抢注的域名为恶意,经常发布恶意软件或进行网络钓鱼攻击,另有5,104个 (36.57%)遭抢注的域名对访客构成高风险,意味着这些域名与恶意网址有关,或使用防弹主机(bulletproof hosting)。
根据调整后的恶意比率,Palo Alto Networks(派拓网络)列出在2019年12月最常被滥用的20个域名。这些域名是许多抢注域名的目标,或模仿的大部分抢注域名被确认为恶意。研究发现,域名抢注分子倾向于那些有利可图的目标,例如主流搜索引擎及社交媒体、金融、购物和银行网站,并通过网络钓鱼和诈骗,窃取敏感凭证或金钱。
图一:2019年12月最常被滥用的20大域名排行榜
由2019年12月至今,Palo Alto Networks(派拓网络)观察到不同恶意域名的不同目的:
网络钓鱼:一个模仿富国银行的域名(secure-wellsfargo[.]org)以窃取客户的敏感信息为目的,包括邮件凭证和ATM PIN码。此外,一个模仿亚马逊的域名 (amazon-india[.]online)会窃取用户凭证,特别针对印度的手机用户。
图二:伪造的Amazon网站:amazon-india[.]online
传播恶意软件:一个模仿三星的域名(samsungeblyaiphone[.]com)带有恶意软件Azorult,能窃取信用卡资料。
命令和控制(C2):模仿微软的域名(microsoft-store-drm-server[.]com和 microsoft-sback-server[.]com)试图进行C2攻击,危害整个网络。
再付费欺诈:数个模仿Netflix的钓鱼网站(例如netflixbrazilcovid[.]com)首先以小金额的首次付款优惠诱使用户订购减肥药等产品。但是,如果用户在促销期后没有取消订购,其信用卡会被收取更高的费用,通常为50至100美元。
图三a:netflixbrazilcovid[.]com上伪造的Netflix主页
图三b:以社交工程诈骗用户的奖励邮件
潜在有害程序(Potentially unwanted program,PUP):模仿沃尔玛及三星的域名(walrmart44[.]com和samsungpr0mo[.]online)传播潜在有害程序,例如间谍软件、广告软件或浏览器扩展功能。这些域名通常会执行有害变更,例如更改浏览器的默认页面或劫持浏览器以插入广告。值得一提的是,这个三星域名看起来像是一个合法的澳大利亚教育新闻网站。
图四:点击来自samsungpr0mo[.]online的警告信息后,出现伪造的病毒扫描页面
技术支持欺诈:一些模仿微软的域名(例如microsoft-alert[.]club)试图威吓用户为伪造的客户支持服务付费。
图五:microsoft-alert[.]club上伪造的技术支持页面
奖励欺诈:一个模仿Facebook的域名(facebookwinners2020 [.] com)以免费产品或金钱等奖励欺骗用户。用户需要在表格填写出生日期、电话号码、职业和收入等个人信息,才能领奖。
图六:facebookwinners2020[.]com上索取个人资料的表格
域名停放:一个模仿加拿大皇家银行的域名(rbyroyalbank[.]com)利用流行的域名停放服务ParkingCrew,根据浏览该网站的用户数量及广告点击率来赚取利润。
Unit 42研究人员调查了各种域名抢注伎俩,包括误植抢注(typosquatting)、组合抢注 (combosquatting)、级别抢注(level-squatting),比特抢注(bitsquatting)及同形异义字抢注(homograph-squatting)。恶意分子可以利用这些伎俩传播恶意软件或进行欺诈和网络钓鱼活动。
Palo Alto Networks(派拓网络)特别开发了自动化系统检测域名抢注,能够从新注册的域名以及被动DNS(pDNS)数据中捕捉新出现的活动。Palo Alto Networks(派拓网络)持续检测目前活跃的网络域名抢注——识别恶意及可疑的域名抢注,并将其指定为适当的类别,例如网络钓鱼、恶意软件、C2或灰色软件。Palo Alto Networks(派拓网络)的多个安全订阅服务已提供针对这些域名类别的保护措施,包括URL过滤和DNS安全。
Palo Alto Networks(派拓网络)建议企业屏蔽并密切监测来自这些域名的网络流量,而消费者则应确保正确输入域名,并在进入任何网站前再次确认域名所有者是否可信。