站在权威解析服务器看恶意软件域名生态

渗透技巧 12个月前 admin
215 0 0

工作来源

ACSAC 2022

工作背景

之前利用域名分析恶意软件生态的努力,都存在一定缺陷。例如,基于沙盒研究无法跟踪在野情况;基于 Passive DNS 受限于数据视野;基于主机研究依赖于预先安装的软件;基于水坑研究错过了最开始的感染阶段。

RFC 7811 引入了 EDNS 客户端子网(ECS)的概念,支持递归解析服务器不在客户端附近时通过地理位置优化 DNS 响应。ECS 在从递归解析服务器发送到权威解析服务器的请求中会包含客户端 IP 地址的一部分,权威解析服务器能够根据客户端请求所属的地理位置进行回复。

工作准备

收集 2017 年 2 月 9 日到 2021 年 6 月 30 日间,权威解析服务器的 DNS 数据。数据包括:递归解析服务器 IP 地址、解析的域名、权威响应以及 ECS 查询客户端 IP 子网。

收集 2018 年 1 月到 2021 年 4 月间,在沙盒中执行可疑的 Windows 程序,所对应的 DNS 流量。并且获取样本相关的 VirusTotal 信息(仅取 17 个引擎),使用 AVClass2 提取最相关标签。

利用 CAIDA 提供的 Prefix-to-AS 数据集与 RIR 提供的 ASN-to-自治系统,为 IP 提供所属信息。另外,开源解决方案中 ASdb 提供的粒度太粗,最后还是选用商业数据集为 IP 标记行业。联合国统计司提供了国际标准行业分类(ISIC)代码与业务类型的映射关系,本文使用的也是如此。

数据详情

发现权威解析数据中出现的恶意域名,过滤掉 Tranco 中排名靠前的域名,过滤得到 12212 个有效二级域名(e2LD)。这些域名与 174112 个恶意软件有关,98.96% 的样本在 VirusTotal 上已有,已有样本的 99.97% 都被标记为恶意。

利用 VirusTotal 扩展了 70898 个样本,共计 245010 个样本。经过 AVClass2 的处理,有 81750 个样本被分配了 SINGLETON 标签丢弃,剩下的 161322 个(66.37%)样本归属于 202 个不同的恶意软件家族。按照域名数量统计 TOP 15 的恶意软件家族如下所示:

站在权威解析服务器看恶意软件域名生态

其累计分布如下所示,大多数域名只与少数恶意样本相关(57% 的域名与少于三个样本相关)。

站在权威解析服务器看恶意软件域名生态

这些域名中,至少 76.7% 的恶意域名至少有一个历史 URL 被标记为恶意。恶意域名的日请求量如下所示:

站在权威解析服务器看恶意软件域名生态

每日请求中 17.9% 都是 ECS 的。

工作评估

C&C 服务器

分析了 6400 个域名,指向 151 个国家/地区的 399830 个 IP 地址。此前,Tajalizadehkhoob 和 Mezzour 都发现合法平台上部署 C&C 服务器的分布与合法平台的规模强相关,与其安全管理是否严格弱相关。

站在权威解析服务器看恶意软件域名生态

25.7% 的 IP 地址与单个恶意软件家族有关,6.6% 的 IP 地址与超过 10 个恶意软件家族有关。例如 AS29075 的 IP 地址与 94 个恶意软件家族的 715 个恶意域名有关,而该 IP 地址是一个被广泛使用的代理。

站在权威解析服务器看恶意软件域名生态

域名与样本、域名与 IP、域名与国家之间数量的关系如下所示:

站在权威解析服务器看恶意软件域名生态

客户端

恶意软件的感染是全球范围的:

站在权威解析服务器看恶意软件域名生态

从统计来看也是这样:

站在权威解析服务器看恶意软件域名生态

71.3% 的恶意软件家族都存在来自超过一百个国家与地区的查询,而且国家内的计算资源越密集,感染也就越多。

站在权威解析服务器看恶意软件域名生态

行业

在 397 亿次恶意域名请求中,大约 70.7% 能够被打上行业标签。

站在权威解析服务器看恶意软件域名生态

其中 15 个行业都会受到超过一半的恶意软件家族的影响。72.7% 的恶意软件家族也会影响超过 10 个行业。

站在权威解析服务器看恶意软件域名生态

每年抽取七天的采样,如上所示。教育行业的安全性也令人担忧。

生命周期

只保留在观测期内只注册过一次的恶意域名,为 2308 个域名占 18.9%。

站在权威解析服务器看恶意软件域名生态

注册到检测的窗口相对较短,75% 的域名大约为 19 天甚至更少。检测到删除相对更长,大约 23 天。

站在权威解析服务器看恶意软件域名生态

大型云服务提供商(亚马逊)、大型域名解析服务提供商(谷歌)与大型电信公司(Vimpelcom 与 Level3),在初期数量较多。检测到后,扫描器(GEORGIA-TECH)、安全公司(MFENET – McAfee 和 PAN0001 – PALOALTO NETWORKS)就冲了上来。在删除后电信公司的数量较大,可能是迟滞感染等原因。

工作思考

站在权威解析服务器看恶意软件域名生态

观测位置不同会带来数据视角的差异,也会对判断带来影响。站在权威解析服务器的视角下查看恶意域名,在生命周期中各个阶段的情况也会更加清晰。

原文始发于微信公众号(威胁棱镜):站在权威解析服务器看恶意软件域名生态

版权声明:admin 发表于 2023年8月8日 上午10:00。
转载请注明:站在权威解析服务器看恶意软件域名生态 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...