概述

新注册的域名（NRD）受到攻击者者的青睐，可以用来发起恶意活动。学术和行业研究报告显示，统计数据表明，NRD是有风险的，可用于包括钓鱼、恶意软件和诈骗在内的恶意活动。本文介绍了攻击者恶意利用NRD的综合案例研究和分析。

我们的分析显示超过70%的NRD是“恶意的”或“可疑的”或“不安全的”，大多数用于恶意目的的NRD是非常短暂的，它们只能存活几个小时或几天，有时甚至在没有任何安全供应商检测到之前就被弃用了。这就是为什么阻止NRD是企业必须采取的预防性安全措施。

我们提供了一些关于最近NRD的统计数据，通过案例研究展示了与之相关的恶意活动。

统计数据

分析总量

系统平均每天识别约200000个NRD。总量在15万到30万之间波动。图1显示了2019年3月10日至5月29日NRD的数量。一般来说，在工作日登记的NRD比周末多，高峰通常在周三，低谷通常在周日。

TLD分布

并非每个TLD每天都有新的注册。平均来说，每天NRD中出现600到700个独特的TLD。图2列出了注册最多的前10个TLD。可以看到，.com仍然是最受欢迎的TLD，它占了最近所有NRD的33%。

第二的位置随时间变化，但主要是在一些ccTLD中，包括.tk、.cn和.uk。例如，.cn在2018年11月至12月保持第二位。然而，从2019年3月到5月，.tk一直位居第二。这些cctld注册了大量的nrd，因为它们提供免费的域注册（例如tk，.ml，.ga，.cf和.gq）。

NRD的使用

为了理解这些新注册域名的目的，我们通过PAN-DB的 url过滤服务交叉对比检查这些域。此服务通过多种技术手段对URL进行分类，包括Web内容爬行、恶意软件流量分析、被动DNS数据分析、机器学习和深度学习。

为了简单起见，我们将类别分为五类：“恶意”“可疑”“不安全工作”“良性”和“其他”。对于恶意URL，我们有三类，即恶意软件、命令和控制（C2）和钓鱼。对于可疑的URL，我们使用类别待定、可疑、内容不足和高风险。对于良性的URL，我们使用商业和经济、计算机和互联网信息以及购物。任何不符合这些类别的东西都属于“其他”类别。图3显示了五个类的细分。

超过70%的NRD被我们的pan-db url过滤服务标记为恶意、可疑或不安全。这个比率几乎是Alexa前10000个域名的10倍，仅为7.6%。此外，我们的pan-db url过滤服务中，恶意类别占了大约1.27%的NRD。然而，在Alexa排名前10000的域名中，这个比例仅为0.07%。

恶意NRD

为了进一步了解恶意NRD的特点，我们检查并计算了每个TLD的恶意NRD比率。图4列出了最近NRD上恶意率最高的前15个TLD。TLD具有高恶意率的原因包括注册成本低或免费、注册政策不严格，以及可隐藏注册者信息。

恶意利用

我们分析了观察到的NRD，发现NRD与恶意利用相关用途，如C2、恶意软件传播、网络钓鱼、近似域名注册、pup/广告和垃圾邮件。下面是每一个类别的例子。

C2域

恶意软件通常需要回连，以便获取命令，下载更多有效负载或执行数据过滤。用于此目的的恶意域称为命令和控制（C2）域。

Soroog[.]XYZ于2019年5月29日首次注册，在同一天观察到使用该域进行C2的恶意软件。到目前为止，我们已经看到七个使用这个c2域的恶意软件样本。属于这个家族的恶意软件可以自动收集敏感数据，包括比特币钱包和信用卡信息。

图5捕获了一部分恶意软件流量，其中它正在与C2 Soroog[.]XYZ进行主动通信。此域最初托管在IP地址51.68.184[.]115上。根据我们的被动DNS记录，IP在2019年6月24日切换到51.38.101[.]194。2019年6月26日后，该域变为NXDOMAIN（不存在域），这个域存在时间是非常短暂的。实际上，对于大多数用于恶意目的的NRD来说，它们只能存活几个小时或几天，有时甚至在没有安全供应商检测到之前就被弃用了。

表1进一步列举了该域下的url及其用法。

恶意软件传播

NRD通常用于恶意软件传播。这里我们以emotet恶意软件家族为例。emotet是一个银行木马，它嗅探网络流量以获取银行凭证。它在2014年被发现，今天仍然普遍流行。到2019年为止，我们已经观察到50000个独特的样本。通常是通过网络钓鱼攻击，如图6所示，恶意文档通常以附件的形式出现在网络钓鱼电子邮件中或来自受攻击的网站。文档通常主要充当下载程序，下载和执行有效负载。下载通常是通过HTTP进行的，我们已经观察到数千个下载URL，许多都是在NRD上托管的。

例如，域hvkbvmichelfd[.]信息于2019年5月2日注册。就在那之后的四天，5月6日，我们看到一个emotet文档使用了url hxxxp://hvkbvmichelfd[.]info/skoex/po2.php？L=spond1.fgs下载有效载荷。有效载荷进一步与另一个NRD Halanis21yi84alycia[.]top通联并下载第二阶段有效载荷（图6中未显示）。第二个域名也于2019年5月2日注册。

网络钓鱼

网络钓鱼活动也经常使用NRD。加拿大域名neflxt[.]com于2019年7月4日注册。根据我们的被动DNS记录，在7月6日开始看到这个域的流量，到7月17日它还是一个活跃的网络钓鱼站点。它试图窃取受害者的Netflix凭证以及账单信息（图10）。还有另一个域netflix mail[.]ca也重定向到加拿大neflxt[.]com。此域于7月11日注册。

这个网络钓鱼网站结合了几种技术来隐藏自身不被检测。例如，登录页面canada neflxt[.]com/login（图7a）使用captcha来防止爬虫程序获取更多内容。此外，右键单击在登录页面上被禁用（图7b）。我们认为这是为了防止受害者轻易地检查网站的页面资源和网络流量。输入电子邮件和密码后，我们观察到未加密的信息被发送出去。接下来，受害者将到达设置账单信息的页面（图7c）

注册近似域名

注册近似域名是一种域名抢注的形式，利用互联网用户在网络浏览器中输入域名时所产生的拼写错误。将仿冒域名货币化主要有三种形式。首先，等待以高价出售给目标域名的所有者（例如facebo0k[.] com而不是facebook[.] com）。然而，根据我们的分析，大公司在防御性注册方面做得相当好。此外，还有许多品牌监控保护服务来帮助防御注册。因此，以这种方式赚钱变得越来越困难。其次，要投放广告或将流量重定向到广告（例如，t-mogbile[.] com重定向到verizonwireless[.] com）。最基本的想法是使流量货币化。第三，提供恶意内容，如钓鱼网页、恶意软件下载等。

在NRDS中广泛观察到近似域名注册现象。例如，域mocrosoft[..]cf可能是针对Microsoft的一个典型的近似域名注册。这是因为字母“i”和“o”在键盘上相邻，并且可能出现打字错误。该域于2019年6月3日首次注册，同一天我们的捕获了该域的流量。图8是使用Microsoft Edge浏览它的屏幕截图。显然，这是一个试图窃取用户登录凭证的网络钓鱼页面。

DGA

域生成算法（DGA）是恶意软件用于定期生成大量域的常用方法，这些域可以用于C2和数据泄漏等恶意目的。大多数DGA根据日期和时间生成域。例如，Conficker C每天生成50,000个域。庞大的域名使得执法部门工作极为困难。但是，攻击者知道算法，可以预测在特定日期将生成哪些域。因此，攻击者只要按需注册一个或几个域。绝大多数DGA域看起来非常随机。

例如，ypwosgnjytynbqin[.] com是属于Ramnit家族的DGA域。它于2019年7月3日注册。三天后的7月6日，我们观察到一个与该域名通信的Ramnit样本（SHA256：136896c4b996e0187fb3e03e13c9cf7c03d45bbdc0a0e13e9b53c518ec4517c2）。

表2中的下面是一些其他示例，其中恶意软件在注册后不久与DGA域通信。

PUP和广告软件

PUP代表“潜在有害程序”，在大多数情况下是广告软件。 广告软件可能不会像恶意软件那样真正损害系统。 但是，它通常会对系统执行不必要的更改，例如更改浏览器的默认页面，劫持浏览器以插入广告等。有时广告软件的基础架构可以重新用于恶意软件下载，从而影响运行PUP的主机。

installsvpn[.] com是为PUP传播而创建的。 首次在5月10日注册，我们开始在5月16日看到这个域名服务于PUP。这是一个针对iPhone用户的广告软件。 图9显示了假病毒弹出消息，它试图引诱用户下载并安装“Secret VPN”工具。 为了绕过检测，本网站仅检索操作系统信息，并仅显示iPhone的警告。 对于其他系统，将返回空页面。

另一个例子是llzvrjx [。]站点，该站点于6月12日注册并于6月14日开始运行。它是一个成人网站，提供免费的流媒体视频应用程序。 我们分析了此应用的Android版本，发现此应用附带了可疑权限，例如ACCESS_FINE_LOCATION，SEND_SMS和READ_CONTACTS。

网络诈骗

除了尝试获取用户名和密码等用户凭据的网络钓鱼欺诈，还有其他类型的在线欺诈。根据我们的分析，这些骗局也依赖NRD。下面是几个例子。

奖励诈骗：域名mey12d4[..]xyz于2019年5月13日注册。同一天，我们注意到一个活动，该域嵌入到一条发送给受害者的未经请求的文本消息中，如图10a所示。该文本消息使用100美元奖励作为用户单击链接的激励。一旦在浏览器中打开，它将经过一系列的重定向，最终登陆一个假的亚马逊调查页面，如图10b所示。页面会要求填写信用卡和家庭地址等个人信息。

技术支持诈骗：这种诈骗依靠社会工程学，通过电话声称提供合法的技术支持服务。受害者经常被欺骗安装远程桌面访问工具并通过提供信用卡信息支付服务。这些骗局通常以一个网页开始，表明电脑受到了威胁，并指示受害者拨打技术服务号码。图11显示了一个运行示例，此页面位于域-alert-m99[.]xyz上，该域于2019年7月17日注册。同一天，它开始服务于技术支持欺诈页面。

垃圾邮件

垃圾邮件的目的各不相同，从广告到鱼叉式网络钓鱼。 图12显示了一个垃圾邮件，用于分发有关退休储蓄的广告。 它是通过2019年7月4日注册的mercinogenitor[.] com发送的。垃圾邮件是在7月15日收到的。

结论

总而言之，新注册域名（NRD）经常被攻击者用于恶意攻击，并不限于C2，恶意软件分发，网络钓鱼，域名抢注，PUP /广告软件和垃圾邮件。同时，NRD也有好的用途，例如推出新产品，创建新品牌或活动，举办新会议或建立新的个人网站。

我们建议使用URL过滤阻止对NRD的访问。NRD威胁的风险很大，如果允许访问NRD，则应设置警报以提高危险的预知性。我们将NRD定义为在过去32天内已注册或拥有权变更的任何域名。分析表明，前32天是NRD被检测为恶意的时间范围。

*本文作者：Kriston，转载须注明来自FreeBuf.COM