域名注册批量查询工具_使用DNS安全性主动检测和阻止恶意域

攻击者每天都会注册数千个新域名，为未来的恶意活动做准备，例如提供命令和控制 (C2)、托管恶意软件以及提供欺骗性内容。Palo Alto 采用最先进的方法来检测新出现的网络攻击，并通过云端交付的域名拒绝列表保护客户。大多数现有的域名滥用检测程序都侧重于​​挖掘 DNS 查找模式来查找正在进行的攻击，并主动抓取 Web 内容以查找恶意指标。新攻击的局限性在于它们通常会延迟发现新的攻击，这并不能保证零日漏洞。特别是，为避免被阻止，恶意域通常只会在被入侵后很短的时间内发起攻击。因此，在观察到恶意活动后，阻止这些域通常为时已晚。

为了尽快检测出潜在的滥用域名，Palo Alto 开发了一个系统，可根据注册时的注册记录识别恶意域名。该方法利用 WHOIS 记录中的预测指标，这些指标可以揭示滥用的网络热点（例如，注册商，与著名的在线 URL 扫描器（以下称为“扫描器”）相比，Palo Alto 的检测器发现恶意域名的时间平均减少了 9.25 天。与普通扫描器相比，在异常大规模的注册活动中，它对可疑新注册域名 (NRD) 的检测率高出 5 倍。

一旦检测程序捕获到“疑似恶意”的域，安全保护就会开始。

为了在恶意域名的内容发布之前将其识别出来，Palo Alto 需要识别出域名注册时可预测异常行为的特征。最常见的指标包括由于成本、匿名性和审查制度而受到攻击者青睐的特定域名。此外，攻击者通常会对大量注册的数千个域名发起攻击，以最大化利润并维持攻击，直到域名被屏蔽。此外，恶意域名还具有独特的词汇特征，例如使用令人恐惧的词语，这将在下文中讨论。所有这些指标都可以从 WHOIS 记录中提取出来，一旦域名注册完成，这些记录就会公开。先前的研究表明，WHOIS 信息可以有效准确地揭露可用于网络滥用的信息。的域名。

基于 Palo Alto 现有的数据及其在网络滥用方面的经验，研究人员使用了三组预测指标。最大的一组预测指标是 WHOIS 记录的综合信誉评分。每个域名的 WHOIS 记录包括域名所有者、注册人和域名所有者。结合 Palo Alto 在持续攻击搜寻过程中积累的知识，Palo Alto 可以在 WHOIS 数据集中识别网络犯罪热点。为了提取这些指标，Palo Alto 构建了一个信誉系统来分析每个 WHOIS 记录。然后，检测器计算每个 NRD 的信誉评分，以量化其与已确认的恶意域的相似性。

从信誉数据库中，Palo Alto 可以识别出被暗网市场滥用的热点。Palo Alto 直接捕获已知恶意域的注册者。例如，注册电子邮件是攻击运营商的身份，因为其 85.14％ 的域名已确认。如图 1 所示，其中一个钓鱼域 [.]org 有一个虚假的共享文档，要求提供 和 365 帐户凭据。第一个登录选项仅重定向到带有错误消息的页面。另外两个登录选项通过 URL [.]org//next.php 将受害者的凭据发送到攻击者的服务器。

由于成本低廉和审查松懈，攻击者青睐某些服务提供商，包括特定的注册商和名称服务器。因此，特定的服务组合可能是潜在恶意活动的迹象。例如，Palo Alto 观察到由 NRD 服务的一组恶意域名。他们的注册商是一家位于亚太地区的大型 ISP，WHOIS 服务器为 -[.]com，服务器名称为 zi3qe[.]com。在具有此配置文件的所有 NRD 中，87.01% 被归类为恶意或成人。大多数域名都是由域名生成算法 (DGA) 生成的，产生的结果如 [.xyz]。

除了 WHOIS 中可以看到的信息外，临时域名注册是未来网络滥用的另一个可靠指标。攻击者通常会在数百或数千个域名上部署他们的服务，以避免被发现。这让他们能够控制成本并减少运营工作量，攻击者更有可能从具有相同 WHOIS 信息的同一注册商处批量购买域名。Palo Alto 的检测每天汇总 WHOIS 数据以分析注册活动。并将汇总的信息输入到判决预测模型中。直观地说，域名所属的活动规模越大，它就越可疑。

最后一组特征关注恶意域名的词汇特征。其中有一些关键字，例如alert和award，经常被攻击者用来生成类似于域名抢注注册的欺骗性域名。这些恐吓性词语经常使受害者攻击者认为恶意域名与某些合法、重要或有利可图的事情有关。另一方面，DGA可能会生成看似随机的域名。这些域名对人类来说毫无意义，但却被广泛用于携带C2 Palo Alto为已知的恶意和合法域名构建单独的语言模型，以评估NRD危险的可能性。

基于以上所有特征，Palo Alto 训练了多个设备学习模型来预测日常 NRD 中的恶意域。图 2 显示了 2020 年 12 月注册的域名的检测性能。该系统每天在大约 20,000 个 NRD 中平均检测到 500 个恶意域。每日平均检测率为 2.56%。以下部分使用统计数据和现实世界的示例来说明这种预测覆盖如何提供重要的保护。

提前快速检测

恶意域名注册后的DNS流量分布

新的恶意域名通常在注册后不久就被积极使用，之后它们会被列入公共拒绝列表。相比之下，合法服务开发商通常在正式启动其网站并为大量访问者提供服务之前购买域名。上图显示了注册时 Palo Alto 检测程序捕获的可疑域名的 DNS 流量分布。Palo Alto 从被动 DNS 数据集中检索了此 DNS 流量。在对这些域名的 DNS 查询中，62.31% 是在标头激活后生成的。只有 1% 的流量发生在激活后的 30 天内，这意味着大多数攻击都是在第一个月内发起的。因此，尽快检测恶意域名至关重要。网络滥用检测程序的不同之处在于它们能够识别正在进行的攻击，主动检测可以在恶意域名造成任何损害之前阻止它们。

为了评估 Palo Alto 的系统带来的好处，Palo Alto 在上图中交叉检查了扫描仪对系统检测到的恶意 DNS 流量的覆盖范围。只要某个域名被其中一个引擎归类为恶意域名，该域名的 DNS 查询就被认为被扫描仪覆盖。由于不同域名的检测时间不同，且不同域名的 DNS 流量分布不同，因此整体覆盖率每天都在波动。不过，覆盖率随着时间的推移有所提高。扫描仪在注册当天仅阻止了 8.23% 的攻击流量。前 10 天的平均流量覆盖率为 17.14%。在域名注册后约 30 天，扫描仪阻止了 60% 的恶意 DNS 流量。相比之下，Palo Alto 的检测程序平均早 9.25 天捕获了这些域名，并覆盖了这些恶意域名 4.28 倍的 DNS 流量。

早期检测带来的好处的一个例子是 C2 域名 [.]top，该域名注册于 2020 年 11 月 13 日，被 Palo Alto 的系统标记为可疑。其 WHOIS 记录获得了较低的信誉评分，因为所有域名注册的注册人都被确认为恶意。根据其他公开信息，其注册国“莫斯科”的历史恶意率为 74%，其注册商的恶意率为 44%。Palo Alto 观察到自 2021 年 12 月 23 日以来的恶意活动中检测到 298 个恶意软件，它们执行的渗透活动包括窃取 Vault 密码、访问数字货币钱包和进程注入。恶意软件将 [.]top 解析为三个托管 C2 服务器的 IP 地址（104.24.101[.]218、104.24.100[.]218 和 172.67.167[.]27）。然后，恶意软件通过端口 443 与其中一个地址建立直接 SSL 连接。初始通信后，C2 服务器向受害者的设备发送了约 3.3 MB 的恶意负载。C2 连接的 JA3 指纹（JA3: 、JA3s: ）被勒索软件广泛使用。虽然扫描仪在 2020 年 12 月 24 日未检测到域被阻止，但到 12 月 23 日，已有 68 个恶意软件被交付。因此，Palo Alto 的系统的早期检测本可以为此次活动提供 23% 的额外 C2 流量覆盖率。除了与 Palo Alto 发现的恶意软件建立连接外，还发现了 1,000 多个 DNS 请求。从被动 DNS 到 C2 地址的最快时间是 12 月 16 日。这表明攻击者更早地部署了攻击基础设施，并开始了渗透活动。

[.]com 上托管的虚假验证页面

虚假登录页面托管于[.]com

另一个真实的例子是名为 [.]com 的钓鱼域名，该域名由攻击者于 2020 年 12 月 2 日注册。检测程序阻止了该域名，因为注册者被认为是一名专门的攻击者。这两家供应商和其他三家供应商于 12 月 23 日在其扫描仪上将其标记为钓鱼域名。然而，最早的被动 DNS 通信可以追溯到 12 月 15 日。Palo Alto 发现，10% 的恶意 DNS 请求发生在扫描仪提供的任何供应商检测之前。

恶意域名注册活动的覆盖率更高

为了吸引更多流量，避免被封，灰度服务发起者往往会在短时间内购买数百个具有相同注册信息的域名，因此，大量相似的 NRD 可能是网络滥用的迹象，通过充分了解 NRD 的 WHOIS 记录，Palo Alto 的系统具有识别这种可疑行为的优势，并为恶意域名注册活动提供更高的覆盖率。

不同规模的注册活动中扫描和测试程序的覆盖范围

上图比较了 Palo Alto 检测和扫描程序对不同规模注册活动的覆盖率。Palo Alto 发现，具有相同注册人、注册商和 NS 信息的 NRD 被归入同一群集。此图显示了 Palo Alto 检测和扫描程序对不同规模注册活动的覆盖率。被 Palo Alto 检测程序标记为恶意的域名的百分比。为了进行比较，Palo Alto 计算了注册后一个月在其扫描仪中被至少一个供应商检测到的域名的百分比。

虽然较小集群的覆盖范围相似，但 Palo Alto 的检测程序显著提高了包含 500 多个域名的活动的覆盖范围。平均而言，Palo Alto 对这些大型注册活动的 NRD 检测率为 21.44%，约为 100%。这一优势有两个原因：首先，系统每天持续扫描 NRD，以便在发现可疑域名时具有广泛的可见性；其次，Palo Alto 的方法计算 NRD 之间的相关性。以识别注册活动，并在识别滥用行为时将其考虑在内。

虚假登录页面托管于 *[.]com

Palo Alto 的检测器捕获了一项注册了四个域名（[.]com、[.]com、[.]com 和 [.]com）的网络钓鱼活动。这些域名是从同一注册商处购买并同时使用的。它们都在注册三天后开始指向同一个网络钓鱼页面，并在 2021 年 1 月 6 日获得了最高的每日访问量。如图 7 所示，攻击者 Palo Alto 在其扫描仪中没有看到任何供应商成功阻止了该攻击，尽管有两家供应商在 [.]com 托管恶意内容后将其标记为网络钓鱼，但他们没有对其他三个域名一致地实施此标签。

与仅涉及有限数量域名的钓鱼活动不同，赌博和成人活动更有可能通过数千个域名进行传播。这些灰色软件站点通常使用自动脚本生成任意域名并批量注册。Palo Alto 的系统在 2020 年 10 月遭到黑客攻击。在同一时期为此活动创建的 11,831 个具有 WHOIS 配置文件的 NRD 中，检测器将 9,544 个 (80.67%) 个域名标记为可疑，而扫描仪仅覆盖 498 个 (在此次活动期间，Palo Alto 观察到许多中国成人域名，例如 99s13[.]xyz 和 fs10[.]xyz，扫描仪中的恶意计数和可疑计数均为阳性。然而，Palo Alto 还观察到更多具有顶级域 (TLD) .xyz 的 NRD，例如 [.]xyz 和 [.]xyz，它们具有相似的内容，尽管它们在扫描仪中被认为是干净的。

覆盖范围扩大

除了直接检测与恶意活动相关的网站外，检测程序还提供了创新的网络滥用切入点覆盖。为了实现利润最大化，暗网市场参与者，尤其是成人和赌博网站运营商，使用各种各样的攻击者策略之一，是通过注册或从域名所有者那里购买流量来重定向他们控制的许多网关域的流量。这些门户网站旨在通过显示欺骗性链接来吸引流量或自动将访问者重定向到恶意登陆网站。

检测用作灰色服务入口点的域名并非易事。首先，启动器通常会用无意义的内容或从合法出版物（如新闻媒体）中抓取的文本填充这些网站。此外，攻击者使用更复杂的方法隐藏其意图，例如将恶意链接隐藏在图像中并在重定向之前利用 。对于基于内容的滥用检测器来说，触发可疑重定向并观察其与地下服务的关系更具挑战性。

[.]com 上的赌博门户

赌博登录网站 cc222[.]com

Palo Alto 的检测程序不是挖掘欺骗性内容或链接，而是从这些暗网市场网关的注册信息中进行调查，并发现可疑指标。例如，系统捕获了 2020 年 12 月 10 日的注册。攻击运营者在其所有网站（例如 [.]com、[.]com、[.]com）中填充了从热门新闻媒体和畅销书中随机复制的文章。这些文本没有任何意义，与图片无关，因此并不直接表明存在隐藏的隐蔽服务。登录域 cc222[.]com 虽然没有明确介绍，但附加在所有图片上。由于页面上没有欺骗性内容或恶意链接，这些域可以逃避无法识别图片中文本的基于内容的检测程序。

Palo Alto 的检测器根据注册时的预测特征将此灰色服务活动标记为可疑。首先，其 WHOIS 信誉评分较低。注册商信息已被编辑以保护隐私，[.]com 的历史记录为 45.12%，NRD 将其标记为恶意。此外，NRD 聚类算法将在同一天和同一时间注册的 842 个域名归为一组，这些域名提供此活动。这种异常注册行为也是可疑活动的强烈指标。

总结

Palo Alto 密切跟踪新注册的域名，并主动挖掘潜在的网络犯罪活动，包括 C2、网络钓鱼和灰色软件托管，因为大多数网络攻击都发生在恶意域名注册后的短时间内。与前代产品相比，Palo Alto 的系统可以阻止新出现的攻击，从攻击者的注册活动中检测到更多可疑域名，并发现可疑恶意意图的迹象。