过期域名抢注查询_CDN校验漏洞催生海量网络投毒

近期，我们发现了一项利用CDN供应商的域名注册漏洞自动传播大规模恶意软件的活动。 我们将从事这项活动的组织命名为“”。 经调查发现，“”组织的相关活动利用多种手段绕过各级监管。 它们在技术实现和套利实现机制方面都非常成熟。 他们应该有一个自动化技术平台，并且已经持续了很长时间。 预计这是非法的。 利润惊人。

1. 起源

“”组织的一系列活动的发现源于“灯塔”威胁情报联盟在2017年6月24日至2017年6月28日期间对恶意软件.apk的监控。短短5天内，该恶意软件已被下载近6万次某网络上的次，其下载地址如下：

。

通过对样本的分析，我们发现该恶意APK是一款具有在线支付、收费功能的网络色情APP。 APK下载地址来源于域名，下载子地址显然是随机的。

通过对该域名的分析，我们发现利用CDN服务下载APK，并通过CNAME泛解析该域名下的大量不规则子域名到CDN网络，以逃避检测。

通过对另外两个同源样本的分析，我们发现下载域名和APP也存在类似的情况。 这些APP使用大量随机二级域名，并利用CDN服务来达到分散访问、隐藏真实下载源地址的目的。 这使得各种检测和监管方法失效。

这两个同源样本的下载地址为：

2、CDN厂商监管漏洞

我们进一步对发现的三个恶意域名进行了深入分析，获取了近2000个域名。 经调查发现，其中不少域名已被“”组织使用。 通过查询注册信息，我们发现这些已使用的域名大部分是在注册过期后重新注册的。

对其中7个仍处于活跃状态的域名进行泛分析发现，同一CDN厂商的网络为恶意APK提供下载加速，并隐藏了真实的下载服务器地址。

序列号

域名

CNAME信息

*。

*。

*。

*。

*。

.:.:.

*。

.:

*。

.:..

至此，我们确信“”组织有办法绕过某CDN厂商的审核。

我们进一步调查了“”组织绕过CDN厂商审核的方法，并与CDN行业资深人士进行了讨论。 发现目前国内CDN服务商对加速域名的审核和监管存在漏洞。 首先，工信部并没有提供官方接口API来检查是否备案。 所有是否备案的信息均通过两个渠道进行核查。 一是互联网上的一些第三方网站（这些网站的内容与工信部不实时同步，不一定准确）。 第二种是通过网络手动去工信部网站查询（需要完全手工操作，并且限制了查询频率，无法满足CDN企业的需求）。 其次，CDN服务商的接入信息与后续调查信息（在第三方网站上查）存在出入。

“”组织利用这一业务监控漏洞，通过自动化技术平台注册过期域名。 通过短时间使用这些过期域名，绕过注册监管和CDN厂商的监管，通过CDN网络从事大规模的网络运营。 中毒活动。

下图是我们搜索到的一个专门从事过期域名注册和注册的网站页面。 可见相关产业已经规模化。

通过这种方式，CDN厂商的网络成为组织一系列网络投毒活动的“保护伞”，使其更加隐蔽、难以监控。

3. 转流及套现

除了利用CDN厂商的域名注册监管漏洞外，我们还发现“”组织综合运用了以下手段来实现流量分流、套现等功能。

1）关键词优化：通过针对百度等搜索引擎优化关键词，诱导网民在移动终端下载安装恶意APK。

2）在线支付和订单管理功能：借助以微信支付为核心的O2O运营营销服务平台等各种第三方服务，实现互联网支付和订单管理，功能非常齐全。

3）使用接口：9000/api/.html?p=2收集用户的电话号码、系统版本、IMSI号码、APP设置的频道信息等敏感设备信息。

4）App内置程序可以在App启动后三秒禁止用户退出并继续显示色情促销付费界面，强制用户付费。

5）色情App的支付体验不高（38元和68元），支持微信和支付宝支付。 不超出大多数人的心理预期，很容易导致付费。

从现有观察数据来看，“”组织在导流、套利方面的运营模式已经非常成熟。 应该已经运行很长时间了，已经实现了全自动化。 我们谨慎估计，该组织非法获利巨额，影响较大。

4. 总结

根据“”组织的调查跟踪，我们认为该组织利用了国内CDN厂商常见的域名注册监管漏洞，注册大量过期域名来逃避实名监管，并利用大量随机子域名、多个下载地址自动切换、自动样本利用变形等技术手段逃避网络监控和样本检测，构建了一个可以大规模传播恶意程序的高度自动化的技术平台。 该技术平台不仅可以用来传播网络色情、赌博等恶意APK，还可以用来传播木马、勒索软件等其他类型的恶意程序。

其中起到关键作用的是CDN厂商域名注册监管的漏洞。 我们建议相关厂商和监管机构立即加强对域名注册的监管，优化现有审核监管机制，严厉打击抢注过期域名进行非法活动的行为和市场。

我们将持续对这一事件进行跟踪分析，更详细的分析报告将通过我们的情报平台以及“烽火台”情报联盟的相关渠道发布和更新。

同时，还请关注7月26日至27日在北京国家会议中心举办的2017网络安全生态峰会（ISS）。 届时，我们将在“威胁情报与安全情报分论坛”信息中分享更多有关“”组织活动的详细信息。