域名解析服务是什么_站在权威解析服务器看恶意软件域名生态

工作来源

2022 年中国化学学会

工作背景

之前使用域名分析恶意软件生态系统的努力存在一定的缺陷。例如，基于沙箱的研究无法跟踪野外条件；基于 DNS 的研究受到数据范围的限制；基于主机的研究依赖于预装的软件；基于水坑的研究错过了最初的感染阶段。

RFC 7811 引入了 EDNS 客户端子网 (ECS) 的概念，它支持递归解析，以便在服务器不在客户端附近时按地理位置优化 DNS 响应。 ECS会在递归解析服务器发送给权威解析服务器的请求中包含客户端的部分IP地址，权威解析服务器可以根据客户端请求的地理位置进行回复。

工作准备

采集2017年2月9日至2021年6月30日权威解析服务器的DNS数据。数据包括：递归解析服务器IP地址、解析域名、权威响应、ECS查询客户端IP子网。

收集2018年1月至2021年4月沙箱中执行的可疑程序对应的DNS流量，并获取样本相关信息（仅取17个引擎），用于提取最相关的标签。

利用CAIDA提供的ASN到自治系统数据集和RIR提供的ASN到自治系统来提供IP的归属信息。另外，开源方案中ASdb提供的粒度太粗，最终为IP标签行业选择了商业数据集。联合国统计司提供了国际标准行业分类 (ISIC) 代码与业务类型的映射，本文也使用了该映射。

数据详情

发现权威解析数据中出现的恶意域名，并过滤掉排名靠前的域名，得到有效二级域名（e2LD）12212个。这些域名与恶意软件相关，98.96%的样本已经在互联网上可用，并且99.97%的现有样本被标记为恶意。

利用扩展样本70898个，样本总数达到70898个。经过处理后，81,750 个样本被分配标签并被丢弃，其余 66.37% 的样本属于 202 个不同的恶意软件家族。按域名数量排名前 15 位的恶意软件家族如下：

累积分布如下所示，大多数域仅与少数恶意样本关联（57% 的域与少于三个样本关联）。

在这些域名中，至少 76.7% 的恶意域名至少有一个历史 URL 被标记为恶意。恶意域名日请求量如下：

每日请求中有 17.9% 是 ECS。

职位评估C&C服务器

分析了 6,400 个域名，指向 151 个国家的 IP 地址。此前，Hedu发现，合法平台上部署的C&C服务器分布情况与合法平台的规模强相关，与其安全管理是否严格相关弱。

25.7% 的 IP 地址与单个恶意软件家族关联，6.6% 的 IP 地址与 10 个以上恶意软件家族关联。例如，与属于 94 个恶意软件家族的 715 个恶意域关联的 IP 地址是广泛使用的代理。

域名数量与样本数、域名与IP、域名与国家之间的关系如下：

客户

恶意软件感染是全球性的：

统计上也是如此：

71.3%的恶意软件家族有来自一百多个国家和地区的查询，一个国家的计算资源越密集，感染的数量就越多。

行业

在397亿次恶意域名请求中，约70.7%可以被贴上行业标签。

其中 15 个行业受到一半以上恶意软件家族的影响。 72.7% 的恶意软件家族还影响 10 多个行业。

每年采样 7 天，如上所示。人们还担心教育部门的安全。

生命周期

仅保留观察期内仅注册过一次的恶意域名，共2308个域名，占比18.9%。

从注册到检测的时间窗口相对较短，75% 的域名大约为 19 天或更短。检测到删除的时间相对较长，大约 23 天。

大型云服务商（亚马逊）、大型域名解析服务商（谷歌）和大型电信公司（和）在初期数量较多。检测后，扫描仪（-TECH）和安全公司（-和-）冲上前去。删除后电信公司数量较多，可能是由于延迟感染等原因。

思考工作

不同的观察立场会带来数据视角的差异，也会影响判断。从权威解析服务器的角度来看待恶意域名，会让生命周期各个阶段的情况更加清晰。