用于网络钓鱼、恶意软件和诈骗：针对攻击者滥用新注册域名的研究与分析

一、执行摘要

众所周知，新注册域名（NRD）一直以来都受到攻击者的青睐，被广泛使用于恶意攻击之中。根据学术界和行业的研究报告，已经以统计学方式证明了新注册域名确实存在风险，同时揭示了攻击者如何恶意使用新注册域名，具体包括网络钓鱼、恶意软件和诈骗。因此，最佳安全实践要求我们阻止并密切监测企业流量中的新注册域名。尽管有一些证据指向这个观点，但目前还没有研究人员针对真实样本中新注册域名的恶意使用方式和威胁进行全面的研究。为此，本篇文章将针对恶意攻击者滥用新注册域名的案例进行研究与分析。

超过9年时间里，我们一直对新注册域名进行跟踪。我们与互联网名称与数字地址分配机构（ICANN）以及各种域名注册机构和注册商保持合作，从而使得我们可以直接掌握在通用顶级域名（gTLDs）和国家和地区代码顶级域名（ccTLD）下的许多新注册域名。我们还通过利用数据源的组合间接识别新注册域名，这些数据源包括WHOIS、区域文件和被动式DNS。我们独有的新注册域名资源由1530个顶级域名组成，据我们目前所了解，这是当前市场上最高质量的公开提供新注册域名服务。

根据我们的分析，有超过70%的新注册域名都是恶意的、可疑的或不安全的。这个概率要比在Alexa TOP 10000域名中观察到的数量高出10倍。此外，大多数恶意用途的新注册域名都是非常短暂的，它们只存在几个小时或者几天，有时甚至只存在于没有任何安全厂商检测到恶意域名的期间内。正因如此，在企业的预防性安全措施中才应该考虑如何阻止新注册域名。

在本文中，我们提供了一些关于近期新注册域名的高级统计数据，并根据对样本进行研究，证明了与之相关的滥用情况和威胁，最后讨论了最佳实践的方式。

二、高级统计结果

2.1 统计

我们的系统平均每天识别大约200000个新注册域名，总量在150000到300000之间波动。下图展示了2019年3月10日至5月29日期间的新注册域名数量。通常情况下，工作日的新注册域名数量一直大于周末的新注册域名，峰值通常出现在周三，谷值通常出现在周日。

每日新注册域名统计：

2.2 按顶级域统计分布

并非每个顶级域（TLD）每天都有新注册域名。平均而言，每天全部新注册域名共涉及到600-700个顶级域。下图列出了注册数量最多的前10个顶级域。该分布图基于2019年3月到5月之间的数据集取平均值。可以看出，尽管.com顶级域是在34年前（1985年3月15日）推出的，但它仍然是最受欢迎的顶级域，占最近所有新注册域名的33%之多。

第二名会随着时间而有所变化，但大多数情况下都会是在比较小众的ccTLD之中，例如.tk、.cn、.uk。举例来说，在2018年11月到12月期间，.cn一直保持在第二位。但在2019年3月到5月期间，.tk一直排在第二位。其中有一些ccTLD之所以包含大量新注册域名，是因为它们提供了免费域名注册（例如：.tk、.ml、.ga、.cf和.gq）。

新注册域名的使用情况：

为了弄清楚这些新注册域名的用途，我们会根据PAN-DB URL过滤服务的分类对这些域名进行交叉检查。该服务借助一系列技术对URL进行分类，所使用的技术包括Web内容爬虫、恶意软件流量分析、被动式DNS数据分析、机器学习和深度学习。为简单起见，我们共将域名分成五个类别，分别是：恶意、可疑、不安全、良性和其他。针对其中的恶意URL，我们再细分成三类，分别是：恶意软件、命令和控制（C2）和网络钓鱼。针对其中的可疑URL，我们将其分为：停靠、可疑、不充分的内容和高风险这四类。针对其中的不安全URL，我们将其细分为裸露、成人内容、赌博、不安全的活动这四类。针对其中的良性网址，我们将其细分为商业与经济、计算机与互联网信息、购物这三类。对于任何不适用上述分类的URL，我们都将其统一归为其他类。上图右侧展示了这五个大类的细分。

有超过70个新注册域名都被我们的PAN-DB URL过滤服务标记为恶意、可疑或不安全。这一概率是Alexa TOP 10000域名中概率的10倍，仅仅占了7.6%。此外，在我们的PAN-DB URL过滤服务中，恶意分类仅占新注册域名的1.27%。然而，在Alexa TOP 10000域名中，这个比例仅仅是0.07%左右。

2.3 恶意新注册域名

为了进一步了解恶意新注册域名的特征，我们确认并计算了每个顶级域中新注册域名的概率。下图列出了近期新注册域名中恶意域名概率最高的前15个顶级域。其中有多数是国家和地区顶级域名（ccTLD）。针对具体的顶级域名，如果具有较高的恶意域名率，其中的一些原因可能是注册域名价格较低、提供免费注册服务、注册方式不严格、不公开显示WHOIS注册者信息等。

近期新注册域名中恶意域名概率最高的前15个顶级域：

三、恶意滥用及威胁

接下来，我们讨论新注册域名的恶意滥用。我们对借助URL过滤工具、WildFire、DNS安全这些产品和服务所观察到的新注册域名进行了分析，发现新注册域名往往与恶意滥用和威胁相关联，其中包括C2、恶意软件分发、网络钓鱼、域名仿冒、潜在有害程序/广告邮件和垃圾邮件。我们对其中每个分类进行了重点分析，并列举出了一些现实中的实际样本。

3.1 C2域名

对于恶意软件来说，通常要打电话回老巢，以此来获取命令，下载更多Payload或实现数据窃取。用于上述目的的恶意域名被称为命令和控制（C2）域名。

域名soroog[.]xyz在2019年5月29日首次注册，我们在注册的当天就观察到存在使用该域名作为C2的恶意软件。到目前为止，我们已经发现有7个AzoRult恶意软件样本使用该C2域名。属于此系列的恶意软件能够自动收集敏感数据，例如比特币钱包和信用卡信息。

下图中，展现了我们捕获的一部分恶意流量，其中发现它正在与C2 soroog[.]xyz进行通信。该域名最初被托管在IP地址51.68.184[.]115。根据我们的被动式DNS记录，该域名解析的IP地址在2019年6月24日之后切换为51.38.101[.]194。而在2019年6月26日之后，该域名变为NXDomain（不存在的域名）。正如我们所看到，这个域名的生存周期非常短暂。实际上，大多数用于恶意目的的新注册域名都是如此，它们仅仅存活了几个小时或者几天，有时甚至只存在于没有任何安全厂商检测到恶意域名的期间内。正因如此，在企业的预防性安全措施中才应该考虑如何阻止新注册域名。

AzoRult C2流量的数据包捕获：

下面进一步列举了该域名下的C2 URL及其用法，如果想要深入了解该恶意软件的行为，可以参考我们公开的两份分析报告。

URL及对应的用法：

soroog[.]xyz/addbot 注册一个新的僵尸主机

soroog[.]xyz/wallets 发送被窃取的（加密货币钱包）信息

soroog[.]xyz/suicide 报告自我删除

soroog[.]xyz/task 注册新的任务

soroog[.]xyz/cpu 发送新的CPU信息

3.2 恶意软件分发

新注册域名通常被用于恶意软件分发。在这里，我们以Emotet恶意软件系列为例。Emotet是一种银行木马，可以嗅探网络流量以获取银行凭据。尽管该木马早在2014年就已经被发现，但它在今天仍热广泛流行。到目前为止，我们在2019年已经观察到了50000个独特的样本。最初的投放是通过网络钓鱼攻击来完成的。如下图所示，恶意DOC通常在网络钓鱼电子邮件中出现，以邮件附件的方式存在。这个DOC文档通常用作下载程序，将会下载并执行下一步骤的Payload。下载过程通常是通过HTTP协议进行的，我们观察了数千个下载URL，其中有许多都是在新注册域名上托管的。

Emotet恶意软件分发链：

举例来说，域名hvkbvmichelfd[.]info是在2019年5月2日注册的。但仅在4天之后，5月6日，我们就看到Emotet DOC使用URL hxxp://hvkbvmichelfd[.]info/skoex/po2.php?l=spond1.fgs来下载更多Payload。值得关注的是，Payload进一步联系了另一个新注册域名，halanis21yi84alycia[.]top，以下载第二阶段的Payload（上图未标明）。第二个域名也是在2019年5月2日注册。

如果想要了解有关Emotet的更多信息，可以参考我们的两篇公开文章。

3.3 网络钓鱼

网络钓鱼活动通常也会使用新注册域名。域名canada-neflxt[.]com是在2019年7月4日注册的。根据我们的被动式DNS记录，我们在2019年7月6日起看到该目标的流量，发现它直到7月17日才成为一个活跃的网络钓鱼站点。该过程中，会试图窃取受害者的Netflix凭证以及账单信息。此外，还有另一个域名netflix-mail[.]ca也可以重定向到canada-neflxt[.]com，前者域名已经在7月11日注册。

该网络钓鱼网站采用了多种技术，以便将其隐藏在自动检测方法之外。例如，登录页面canada-neflxt[.]com/login（如下图所示）利用验证码来防止爬虫爬取太多内容。此外，在登录页面上仅用了右键单击，我们认为这可以防止受害者更轻松地检查网站的页面资源和网络流量。在输入用户名和密码后，我们发现会发出一个未经加密的信息。接下来，受害者将可以访问用于设置账单信息的界面。

登录界面与Captcha：

登录界面带有登录表单，并且右键单击被禁用：

结算页面并收集结算信息：

3.4 域名仿冒

近似域名抢注是域名抢注的一种细分形式，主要利用互联网用户在网络浏览器中输入域名时所可能产生的拼写错误。在实现域名仿冒后，大致有三种主要收益方式。

第一种，可以等待以高价出售给目标域名的所有者（例如：facebo0k[.]com仿冒了facebook[.]com）。然而，根据我们的分析，大型企业在防御域名抢注（域名仿冒）方面都做得普遍较好。此外，还有许多品牌监控和保护服务，可以帮助进行防御性注册。因此，如果攻击者以这种方式获得收益，他们的赚钱方式会变得越来越困难。

第二种，是投放广告，或将流量重定向到广告或仿冒域名所对应真实域名的竞争对手（例如：t-mogbile[.]com会重定向到verizonwireless[.]com）。在这里，一个关键思路就是如何将想法通过流量的方式变现。如果流量足够大，实际上可以赚取到比注册费（通常每年不到10美元）更多的收入，这样做从经济角度来看是合适的。

第三种，是提供恶意内容，例如仿冒原始网页的页面，暗中下载恶意软件等。

在新注册域名中，我们观察到存在大量的域名仿冒情况。例如，域名mocrosoft[.]cf可能是针对Microsoft的仿冒域名。之所以选择这个仿冒名称，是因为字母“i”和“o”在经典键盘上彼此相连，打错的可能性比较高。该域名在2019年6月3日首次注册，在注册当日就发现存在访问记录。下图是使用Microsoft Edge浏览器访问该网页的屏幕截图。显然，这是一个试图窃取用户登录凭据的仿冒页面。

带有伪造用户登录表单的网络钓鱼页面：

3.5 域名生成算法DGA

域名生成算法（Domain Generation Algorithm，DGA）是恶意软件用于定期生成大量域名的常用方法，这些域名可以用于C2或窃取数据等恶意目的。大多数DGA根据时间和日期来生成域名。例如，Conficker C每天生成50000个域名。庞大的域名规模使得执法部门很难对其进行彻底关停。但是，攻击者掌握算法，因此可以预测在特定日期将会生成哪些域名。因此，攻击者只需要根据实际需求，在特定日期注册一个或多个域名即可实现攻击。绝大多数DGA域名看起来都非常随机。

例如，ypwosgnjytynbqin[.]com是属于Ramnit系列恶意软件的DGA域名，在2019年7月3日注册。在3天过后的7月6日，我们观察到一个与该域名进行通信的Ramnit样本（SHA-256：136896c4b996e0187fb3e03e13c9cf7c03d45bbdc0a0e13e9b53c518ec4517c）。

下表列举了其它一些示例，其中恶意软件在注册后不久就与DGA域名进行通信。

使用域名生成算法的新注册域名与关联的恶意软件列表：

C2域名：eqbqcguiwcymao[.]info

注册日期：2019-01-17

恶意软件首次发现日期：2019-01-21

恶意软件家族：Pykspa

C2域名：aaqkekyaum[.]org

注册日期：2019-04-13

恶意软件SHA-256：418dd3d94d138701f06c58ffb189dfae08c778fb9ad3859dbb7a301f299a8e55

恶意软件首次发现日期：2019-04-13

恶意软件家族：Pykspa

C2域名：qgasocuiwcymao[.]info

注册日期：2019-06-12

恶意软件首次发现日期：2019-06-13

恶意软件家族：Pykspa

C2域名：litvxvkucxqnaammvef[.]com

注册日期：2019-04-11

恶意软件首次发现日期：2019-04-13

恶意软件家族：Ramnit

3.6 潜在有害程序/广告软件

PUP代表“潜在有害程序”，在大多数情况下都是广告软件。广告软件可能不会像恶意软件那样真正损害系统。但是，它通常会对系统进行不必要的更改，例如更改浏览器的默认页面、劫持浏览器并插入广告等。有时，潜在有害程序/广告软件的基础架构可以被攻击活动中的恶意软件重新使用，从而对存在潜在有害程序的主机造成风险。

installsvpn[.]com就正是为潜在有害程序分发而创建的，该域名首次注册于2019年5月10日，我们在5月16日就开始监测到这个域名是用于域名生成算法。特别是，这是一个针对iPhone用户的广告软件。下图弹出的是虚假的病毒提示信息，试图引导用户下载并安装“Secret VPN”工具。为了绕过检测，网站上仅检索操作系统信息，并将仅显示针对iPhone的警告。针对其他系统，将直接返回空页面。

伪造病毒警告弹出窗口：

另一个例子是llzvrjx[.]site域名，该域名在2019年6月12日注册，并在6月14日开始运行。这是一个成人网站，提供免费的流媒体视频应用程序，我们分析了这个应用的Android版本，发现该应用程序默认附带了值得警惕的权限，例如：ACCESS_FINE_LOCATION、SEND_SMS和READ_CONTACTS。该网页还针对移动用户做了适配和定制。其中包含一个隐藏的JavaScript，可以通过检查浏览器的用户代理来隐藏桌面用户或爬虫。

3.7 诈骗

除了主要尝试获取用户凭证（例如用户名和密码）的网络钓鱼诈骗之外，还有其他类型的在线诈骗。根据我们的分析，这些骗局也依赖于新注册域名，下面是一些案例。

（2）技术支持团队：这种类型的诈骗要依赖于社会工程学，攻击者通过电话声称提供合法的技术支持服务。受害者经常以“安装远程桌面访问工具”和“通过提供信用卡信息来支付支持费用”的名义被欺骗。诈骗过程通常会从一个网站开始，恶意人员会虚构计算机存在漏洞（受到损坏），并指示受害者拨打技术支持号码。下图展现了一个实际案例，该页面托管在域名system-alert-m99[.]xyz。在同一天，它开始服务于技术支持诈骗界面。

（3）重新支付诈骗：近期，Unit 42团队的成员在文章中提到了“重新支付”的诈骗方式。基本上来说，受害者都会被诱骗少量的钱来试用减肥药产品。然而，有一个小小的细则表明，“如果你在特定时间内没有取消订阅，那么你将被定期收取更高的金额”。其中具体给出的支付金额非常惊人，可以是50美元到100美元之间。此类诈骗中使用的大多数域名都是新注册域名，例如ketoweightlosspillsreviews[.]com就是在最近的6月1日注册的。有关此诈骗方法的其他信息，可以参阅博客文章。

3.8 垃圾邮件

垃圾邮件通常是指未经请求的邮件，攻击者首先会以不同方式收集批量的电子邮箱地址，随后再发出邮件。垃圾邮件的目的各不相同，从恶意软件到鱼叉式网络钓鱼。下图展现了一个垃圾邮件，主要是用于扩散有关退休储蓄的广告。该邮件是由2019年7月15日收到的。但不出所料的是，Google在收到时就将其检测为垃圾邮件。

新注册域名发出的垃圾邮件：

四、总结

总而言之，新注册域名（NRD）经常会被恶意行为者滥用，以开展恶意目的，其中包括但不限于C2、恶意软件分发、网络钓鱼、域名抢注、潜在有害程序/广告软件和垃圾邮件。同时，也有很多良性用途，比如推出新产品、创建新品牌或活动、举办新会议或建立新的个人网站。

在Palo Alto Networks，我们建议使用URL过滤的方式阻止对新注册域名的访问。尽管这一措施存在潜在的误报风险，可能会被一些人认为比较激进，但实际上新注册域名遭遇的风险要大得多。至少来说，如果允许访问新注册域名，应该设置警报来提高可见性。我们将新注册域名定义为在过去32天内注册或变更所有权的任何域名。通过分析表明，32天是有助于新注册域名被反病毒软件检测为恶意的最佳时间范围。

正如本文的顶级域名（TLD）部分所示，我们甚至阻止主要由攻击者使用的顶级域名。当然，每个组织在阻止全部顶级域名时，必须要了解他们对潜在误报的容忍度。

客户可以通过URL过滤、DNS安全、WildFire和威胁防护来实现保护，也可以找到本文中所提到的恶意指标并进行自动分析。