没有合适的资源?快使用搜索试试~ 我知道了~
2570Panning for gold.com:了解域名抢注的动态0Najmeh Miramirkhani,Timothy Barron,Michael Ferdman,Nick Nikiforakis StonyBrook University [nmiramirkhani,tbarron,mferdman,nick]@cs.stonybrook.edu0摘要0一个很少被技术用户和普通人考虑的事件是域名过期。域名注册的大规模增长与大量的域名过期相匹配,之后这些域名可以重新注册。虽然绝大多数过期的域名没有价值,但在每天数十万个过期的域名中,存在着明显有价值的域名,这些域名要么因为其词汇组成,要么因为其残留的信任而具有价值。在本文中,我们调查了域名抢注的动态,即公司代表用户竞相注册最理想的域名,并将其拍卖给出价最高的人。我们使用数据驱动的方法,在九个月的时间里监控了2800万个域名的过期情况,收集了域名特征,WHOIS记录,并定期爬取注册的域名,以揭示它们重新注册(抓取)的目的。我们发现,平均而言,只有10%的过期(删除)域名被抓取,绝大多数重新注册发生在它们被释放的当天。我们研究了使某些域名更有可能被抓取的特征,并发现在其过期时恶意的域名比平均域名更有可能被抓取两倍。此外,先前恶意的域名更有可能被重新用于恶意目的,而不是先前良性的域名。我们确定了三种有兴趣购买过期域名的用户类型,从购买一两个域名的自由职业者到在仅三个月内投资超过11.5万美元购买过期域名的专业人士。最后,我们观察到不到11%的域名用于托管网页内容,其余的域名要么被投机者使用,要么被恶意行为者使用。0ACM参考格式:Najmeh Miramirkhani,Timothy Barron,MichaelFerdman,Nick Nikiforakis。2018年。Panning forgold.com:了解域名抢注的动态。在WWW2018:2018年网络会议,2018年4月23日至27日,法国里昂。ACM,美国纽约,纽约,10页。https://doi.org/10.1145/3178876.31860920本文是根据知识共享署名4.0国际(CC BY4.0)许可发布的。作者保留在个人和公司网站上传播作品的权利,并附上适当的归属。WWW 2018,2018年4月23日至27日,法国里昂。©2018IW3C2(国际万维网会议委员会),根据知识共享CC BY 4.0许可发布。ACM ISBN978-1-4503-5639-8/18/04。https://doi.org/10.1145/3178876.318609201 引言0域名系统(DNS)是网络上的事实上的身份管理系统,提供称为域名的可读标识,可以转换为可路由的IP地址。然而,这些域名并不是永久的。所有者支付费用注册他们的域名一段时间,否则该域名将在所有者支付费用续订域名的另一个时期之前过期。当域名允许过期时,它被删除,然后被称为“删除”。删除后,域名将根据先到先得的原则再次提供注册。新的注册者可以竞相重新注册或“抓取”域名,获胜者将完全控制该域名。这是抢注行业的基础。这个系统可能被认为是公平的,但也是无情的。这种模式可能会危及那些将品牌和服务建立在域名上的企业,但忘记续订域名,就像Foursquare和达拉斯牛仔队在2010年的情况一样[28,34]。更重要的是,它产生了广泛而严重的安全威胁。JavaScript库、软件/操作系统更新和许多其他服务和安全协议都依赖于域名。当相关的域名过期时,新的注册者继承了域名的残余信任,并可以接管其先前的客户、访问者和依赖资源。正如Lauinger等人在同时进行的工作中所展示的那样,人们意识到这些域名的价值[24]。注册商花费数百万美元支持基础设施,以在域名变得有价值的时刻抓取它们。Lever等人最近的工作研究了残余信任的后果,他们的系统可以检测到域名所有权的变化[26]。然而,域名抢注生态系统还有许多尚未研究的方面。在本文中,我们分析了不同参与方的操作,以更好地了解域名抢注的安全影响。我们将我们的主要贡献和发现框架如下:0•大规模数据收集系统用于删除的域名。我们开发了D�����P�����来通过分布式搜索引擎收集区域文件,汇总每日删除的域名,识别捕获的域名,获取它们的WHOIS记录和黑名单状态,进行爬取和特征化。在我们的研究期间,我们的工具收集了超过20TB的数据。 •分析具有负残余信任的捕获域名:我们分析了负残余信任对域名注册的影响。我们发现先前被列入黑名单的域名重新注册的比率更高,并且这些域名再次恶意行为的可能性也更高,在94%的情况下提供恶意软件。 • 域名选择策略的分析:我们研究了用于选择域名的策略,并展示了它们的差异。0Track: 2018年4月23日至27日,法国里昂的Web安全和隐私WWW 20182580普通和恶意注册者之间、不同人口统计学之间以及按规模(自由职业者、域名投资者和域名捕获者)分类的注册者之间的差异。 •注册者意图的研究:我们对大规模研究中捕获域名的网页内容进行聚类,以了解捕获者的意图。我们发现69%的域名是由投机者注册的,这会给用户带来潜在的不需要的内容。02 数据收集0在本节中,我们描述了我们用于分析域名删除捕获的各种数据源,并介绍了我们的工具的架构和实现细节,该工具利用以下数据源尽可能多地提取有关删除和随后捕获的域名的信息。02.1 数据源0• Zone �les:从2017年1月10日开始,我们每天收集.com、.net和.org的区域文件,持续九个月,直到2017年10月10日。这些区域文件包括每天注册和活动域名的列表,并且由于其受欢迎程度,每天的域名文件大小合并后达到多个千兆字节。 • 删除域名列表:从2017年1月10日开始的九个月里,我们从以下删除捕获服务中收集每日的删除域名列表:SnapNames、DropCatch、Pool、Namejet和Dynadot。每个服务都以自己的格式提供将在接下来的五天内删除的域名列表,完整性各不相同。我们将所有单独的每日列表合并,并通过对每个域名的不同服务报告的删除日期进行多数投票,建立每日的删除域名列表。我们研究的顶级域名(TLDs)的删除捕获服务列表之间有超过90%的重叠,因此我们有信心我们的聚合列表涵盖了待删除阶段(生命周期的最后五天)中的绝大多数域名。通过这个每日聚合过程,我们总共收集了28,401,974个待删除的域名,涵盖了.com、.net和.org三个TLDs。 •域名黑名单: 我们使用了两个来源来编制我们的黑名单域名数据库:Google Safe Browsing (GSB)和VirusTotal(VT)。对于每个域名,在其删除之前、注册后的第一天以及我们研究期间的重复时间间隔内,我们查询了安全浏览API。虽然GSB提供了查询时域名的状态,但它不提供有关域名恶意活动历史的任何信息。因此,我们查询了VT,它汇总了来自各种杀毒产品和在线扫描引擎的关于域名的历史数据。考虑到VT应用了严格的速率限制,我们仅查询了一个月的数据,并在研究的其他部分需要时进行了补充查询。 •WHOIS记录:我们在域名删除之前收集了所有删除域名的WHOIS记录,以便能够分析它们的先前注册情况。此外,我们还为所有新注册的域名获取了三个月的最新WHOIS记录,以获取新注册者的信息。0�d����y0������y����D0���������D� ������0�������y��� �������y��0��� ���� ���yn��D � ���� �������DyD0���y����o��� �y�����0������y������� ��������dy��D0���a ���D0�����n�n�0���a ���0���a ���0����0������y��0��� ���y0������� �D0图1:D�����P�����的高级视图0•域名特征:最后,对于所有删除的域名,我们收集了与其历史流量、搜索量、词汇特征和之前托管在其上的内容相关的统计数据(从互联网档案馆获取)。02.2 D�����P�����的实施0为了每天处理上述与删除相关的来源,我们开发了D�����P�����,一个跟踪删除域名重新注册、爬取新注册域名并从每个域名提取特征的系统。除了从各种在线来源收集和编译的前一节中描述的数据来源外,D�����P�����的流程(图1)包括以下组件:区域文件搜索引擎:当一个域名进入待删除状态时,它不再存在于区域文件中,但如果它被重新注册,它将以新记录的形式添加回区域文件中。因此,我们利用删除域名在区域文件中的重新出现来表示该域名已被捕获。为了能够高效地搜索数千兆字节的区域文件以进行我们的纵向研究,我们使用了Elasticsearch。由于大多数区域文件条目在连续的两天之间保持不变,我们计算了两个连续天的区域文件之间的增量。这个增量包含了被注册、注销或其他改变的域名的信息,它被存储在Elasticsearch中。每个查询的工作负载分布在22个计算节点上,我们对其进行了调优以最小化响应时间。每天,我们将聚合的删除域名列表查询我们的搜索引擎,以生成每日的捕获域名列表。网络爬虫:捕获的域名被提供给D�����P�����的分布式网络爬虫,它负责访问这些域名并收集它们的HTML代码、最终URL、嵌套的iframe、重定向以及最终页面的截图。它还存储域名的DNS记录,包括A、NS和SOA,并跟随CNAME链。我们的分布式网络爬虫使用Celery [3]和RabbitMQ[7]作为其消息代理进行作业管理。Celery工作者使用Selenium WebDriver在Chrome浏览器中访问页面,并在关闭窗口之前停留40秒。它们还收集每个域名的DNS记录和网络信息,并最终将所有数据发送到集中式CouchDB。03 注册删除域名0在本节中,我们研究了删除域名的注册情况,并调查了域名的负面剩余信任(即在域名被删除时是否属于黑名单)对其注册前景的影响。此外,我们还研究了域名的各种特征,以了解哪些特征使域名具有吸引力,以及这些特征在常规域名和恶意域名之间是否不同。使用D�����P�����,我们在2017年1月10日至10月10日期间监测了2800万个删除域名的注册和使用情况,共计9个月。0跟踪:2018年4月23日至27日,法国里昂的Web安全与隐私WWW 2018025,00050,00075,000100,00002040602590日期0频率0com net org0图2:每日删除域名数量0该域名在删除时是否属于黑名单)是否影响其注册前景。此外,我们还研究了域名的各种特征,以了解哪些特征使域名具有吸引力,以及这些特征在常规域名和恶意域名之间是否不同。使用D�����P�����,7年1月10日至10月10日期间监测了2800万个删除域名的注册和使用情况,共计9个月。03.1 注册速率0图2显示了从2017年7月1日开始的两个月内每个顶级域名(TLD)的删除域名数量。请注意,绝大多数删除的域名属于.com顶级域名,没有一天返回的可用域名池中的域名少于75K个。图3显示了从2017年2月1日开始的30天内被抢注的删除域名的累积百分比。具体而言,D跟踪每个域名从被删除的那天起到30天后的注册状态。实线描绘了所有域名列表每天注册率的中值插值。对于所有的删除域名列表,我们观察到第一天的注册率最高。根据删除列表的不同,第一天的注册率在5%到15%之间,但中值约为11%。之后,注册率下降,剩下的29天中,注册率仅增加了5%。03.2 恶意域名的注册0为了了解某些域名的负面信任对其注册前景的影响,我们研究了域名的先前恶意活动与其注册概率之间的关系。我们利用Google SafeBrowsing (GSB)和VirusTotal(VT)来确定域名的恶意历史。为了捕捉恶意域名的注册率,我们查询了GSB在从4月15日开始的30天内的所有删除域名。然后,我们在接下来的5个月内监控了所有恶意域名的注册情况。图4显示了在5个月内不同列表的累积注册百分比的插值函数,包括先前恶意和先前良性的域名。尽管这两组域名在删除日期上都表现出最高的注册率,然后逐渐减少,但在注册率方面存在明显的差异。也就是说,先前恶意域名的注册率是先前良性域名的两倍。正如Lever等人在他们对域名剩余信任的研究中指出的[26],攻击者可以选择注册先前恶意的域名,要么是因为0这些域名可以用于重新激活恶意基础设施(例如,注册休眠僵尸网络的C&C域名),或者因为攻击者希望在较轻的标签后隐藏更严重的攻击(例如,滥用被标记为传送PUP的域名,并将其用作高度针对性攻击的投递服务器)。为了揭示域名先前的恶意历史如何影响其注册前景,我们利用VT获取域名被标记为恶意的最新日期。由于VT的API限制严格,我们将分析限制在一个月的时间内。如果域名曾经参与任何恶意活动,我们将其标记为恶意域名。图5显示了在我们一个月的观察期内,VT标记为恶意的65K个域名的最新滥用日期的CDF。我们观察到,只要一个域名的活动在两年前之内是恶意的,它的年龄不会影响其注册前景。与此同时,我们观察到对于恶意活动超过两年的域名,与该趋势有所不同,这可能是因为这些恶意域名过于陈旧,无法用于重新激活休眠的恶意基础设施[26],因此对于重新注册来说不太理想。03.3 域名是如何选择的?0在抢注最有价值的域名方面,抢注者之间存在激烈的竞争,以至于这些公司投资数百万美元购买多个注册商许可证,增加抢注到即将删除的域名的机会[24]。我们的研究结果(与Lauinger等人[24]最近的研究结果一致)表明,每天只有10%的即将删除的域名被抢注。在本节中,我们旨在了解是什么吸引注册者购买特定的域名。此外,我们单独调查恶意域名,以了解为什么它们的注册频率是常规域名的两倍,尽管它们有负面声誉。0域名特征。域名的可取性取决于许多因素,包括关键词、趋势、长度、语言、人口统计、先前的流量和在搜索引擎中的索引。同时,鉴于人类(除了自动机器人)做出这些决策,没有模型能够完美地预测所有理想的域名。通常被称为域名投资者的人们(除了自动机器人)创建大量域名组合,以便以后出售获利。域名投资者有自己的策略来识别有价值的域名。有些人试图预测趋势并注册相关的域名,而其他人则研究即将删除的域名的特征,并使用估价服务,如Estibot [5]和GoDaddy[6],这些服务在其私有数据库上使用数百个特征训练机器学习模型[9],以提供域名价值的估计。为了量化对域名投资者感兴趣的即将删除的域名的特征,并了解他们不同的域名选择策略,我们收集了一组受行业报告启发的12个特征。内在价值:由于其词汇组成,域名具有价值。例如,像business.com和sex.com这样的域名已经以数百万美元的价格出售[8]。我们考虑以下反映域名内在价值的特征:长度(字符数)、有意义的单词数量、包含连字符、包含数字、包含成人关键词、通过域名抢注来针对商标[10,19, 21, 22, 30,35],以及域名已经注册的其他顶级域名(.com、.net、.org、.info、.biz和.us)的数量。流量:我们使用以下特征来捕获域名的剩余流量和有机流量:域名在删除前的Alexa排名(如果域名缺少Alexa排名,则给予其来自我们数据库的最大值)、商业服务数据库中域名关键词的搜索量,以及热门搜索引擎中域名关键词的搜索结果数量。搜索量是关键词受欢迎程度的代理,可以转化为有机搜索排名较高。注册和使用历史:我们从WHOIS创建日期中提取域名的年龄,并根据在WaybackMachine中是否存在记录来确定它是否指向真实内容。这些是域名建立和发展程度的指标。这两个特征使域名更有可能拥有传入链接并被搜索引擎索引。0研究方向:Web上的安全与隐私 WWW 2018年4月23日至27日,法国里昂0510152001020300102030400501001500.000.250.500.751.00500100015002600日期0%注册0图3:一个月内删除的域名及其一个月内的重新注册百分比0日期0%注册0常规 恶意0图4:常规和恶意域名的每日重新注册百分比0最后的恶意活动0域名的比例0已失效 已激活0图5:重新注册之前的最后恶意活动日期0图6:具有归一化值的域名特征分布0一个连字符,包含一个数字,包含成人关键词,通过域名抢注针对商标[10, 19, 21, 22, 30,35],以及域名已经注册的其他顶级域名(.com、.net、.org、.info、.biz和.us)的数量。流量:我们使用以下特征来捕获域名的剩余流量和有机流量:域名在删除前的Alexa排名(如果域名缺少Alexa排名,则给予其来自我们数据库的最大值)、商业服务数据库中域名关键词的搜索量,以及热门搜索引擎中域名关键词的搜索结果数量。搜索量是关键词受欢迎程度的代理,可以转化为有机搜索排名较高。注册和使用历史:我们从WHOIS创建日期中提取域名的年龄,并根据在WaybackMachine中是否存在记录来确定它是否指向真实内容。这些是域名建立和发展程度的指标。这两个特征使域名更有可能拥有传入链接并被搜索引擎索引。0已注册域名的特征。为了比较注册和未注册域名的每个特征值,我们随机选择了十个每日的即将删除的域名列表,并编制了立即捕获的域名列表(98,817个域名)以及在删除后的前两个月内未被捕获的域名列表(873,854个域名)。对于每个特征,我们进行t检验,以确定捕获和未捕获域名之间是否存在统计上显著的差异。对于所有特征,p值远小于0.05(最大的p值为10-7)。测试的低p值表明这些特征来自不同的分布。0表1:已抓取/未抓取域名的特征分布。0特征 已抓取 未抓取0年龄 49个月 ± 49个月 32个月 ± 3个月0#单词 2 ± 0.9 2.5 ± 1.20域名长度 10 ± 4 12 ± 50搜索结果 215K ± 3M 98K ± 2.2M0搜索量 833 ± 4K 130 ± 7K0其他TLDs 0.3 ± 0.74 0.23 ± 0.620品牌 2.7% 3.8%0成人 0.86% 0.95%0数字 12.98% 16.9%0连字符 5.5% 10.3%0有Wayback记录 10.8% 3.2%0在Alexa前1M中 3.3% 0.6%0表2:恶意和整体人群的二进制特征。0特征 所有域名 恶意0品牌 7.8% 9.9%0成人 10% 13%0数字 8.3% 31%0连字符 6% 11%0其他TLDs 12% 31%0表1总结了每对特征的平均值。抓取的域名平均比未抓取的域名早17个月,并且更有可能在Wayback机器中有记录。这告诉我们,注册者更青睐成熟和发展中的域名。有趣的是,并非所有的旧域名都被抓取。具体来说,我们发现了2,834个未抓取的域名,这些域名超过15年。例如,最古老的未抓取域名是'wwwsexsites.com',创建日期为1997年。此外,抓取的域名倾向于更短,包含较少的单词,并且已经在其他TLDs(.com,.net,.org,.info,.biz和.us)中注册的相同域名的概率更高。它们更不可能包含数字或连字符。连字符可以改善高关键字密集域名的可读性,但它们也可能损害品牌形象(因为它们通常不会被发音)。预期地,抓取的域名具有更高的搜索量,域名关键字的搜索结果以及它们的剩余流量。我们使用相同的一组特征来比较恶意域名和常规域名。我们的恶意列表基于Google安全浏览在140天内检测到的域名,并且我们使用与所有域名相同的方法,编制了已抓取(5,641个域名)和未抓取(23,420个域名)的恶意域名列表。0Track: Security and Privacy on the Web WWW 2018, April 23-27, 2018, Lyon, France2610表2突出了二进制特征的主要差异。从中我们可以看出,恶意域名更容易接受通常被认为是负面的特征。我们观察到,包含数字的域名中,恶意抓取集合中有31%出现,而一般情况下只有8.3%。一个合理的解释是,许多理想的恶意域名可能是由恶意软件DGA算法生成的。我们还发现,恶意抓取的域名更有可能在其他顶级域名(TLDs)中注册,这表明它们用于抢注存在于不同TLDs上的域名。类似地,图6使用一些顶级特征来比较恶意和非恶意的已抓取和未抓取的域名。我们发现,恶意域名的注册者更看重较短的域名长度,这通常是有利的特征,但他们也允许比常规域名更短的平均年龄,这通常是不利的。我们认为这种行为很可能是两种不同的域名选择策略的结果:i)恶意域名的有利属性可能会被选择,尽管它们有负面的过去;ii)恶意域名的不利属性可能会被选择,因为它们的负面剩余信任对攻击者仍然有用(例如,可以用于重新激活休眠的僵尸网络)。03.4 聚类注册者0在本节中,我们旨在更好地了解使用抢注服务的用户。Lauinger等人报告了各种类别的注册商,其大小和成功率各不相同,以抢注到删除的域名[24],我们的重点是推动这个市场的最终用户。为此,我们跟踪了从2017年3月23日开始的三个月内所有删除域名的WHOIS记录的变化,记录了新注册者的联系信息。总共,我们收集了1,069,420条记录,其中6%的记录没有注册者姓名。我们根据注册者的电子邮件地址和Levenshtein距离以及经验选择的阈值作为相似度度量对域名进行聚类。这种“模糊匹配”允许我们将诸如john.doe@gmail.com和john.doe.1@gmail.com之类的电子邮件地址分组在一起。在删除WHOIS隐私保护服务的集群之后,我们获得了一个包含31,731个集群的列表。根据购买的域名数量,我们非正式地确定了三种类型的集群;自由职业者(购买少于100个域名的个人),专业域名商(拥有100到10,000个域名的小型企业)和抢注服务(注册超过10,000个域名的服务)。尽管这些分界点是任意的,并且仅由我们的领域经验提供,但它们有助于离散化域名注册的连续性。大多数集群(98.4%)是自由职业者,总共注册了12%的删除域名。专业域名商(1.5%的集群)注册了27%的域名,而抢注服务自己(0.03%的集群)注册了大多数(60%)的域名。请注意,上述结果基于删除日期的WHOIS记录的快照。我们专注于自由职业者和域名商类(我们排除抢注服务类,因为它将在定义上包含大量将在以后转移到自由职业者/域名商的域名),并进行统计测试以量化不同类别的注册者在不同方面的关注程度。0域名特征。具体来说,我们提取了第3.3节中描述的两组域名的特征,这两组域名分别由每个层次(注册超过3K个域名的顶级域名投资者和注册单个域名的个人)的注册者捕获。然后,我们执行t检验并计算Cohens'd效应大小,以找到最具特色的特征。如表3所示,这两个群体选择的域名在年龄、域名长度、Alexa排名和从其他TLDs获取的域名数量方面存在显著差异。如表3所示,注册者的两种群体在选择策略上存在显著差异。自由职业者注册的域名平均更长,Alexa排名较差,并且同一域名从其他TLDs获取的概率较低。唯一与常识[2,23]和域名投资者策略更一致的特征是域名的年龄。表4显示了顶级域名投资者。一个使用电子邮件地址80010864@qq.com的注册者捕获了超过11K个域名。这样的投资组合只能通过在抢注市场上投资至少115K美元(假设每个域名的最低价格为69.6元/$10.47,这是他们最常使用的注册商的最低价格)来积累。另一个顶级域名投资者(yaomaiyumingzhaowo@126.com)与一个挖矿活动相关[1]。目前,该账户已注册超过247K个域名[4];因此,我们无法确定这些域名是否全部恶意行为,或者只有其中一些已被入侵。注册者的策略也因其人口统计学特征而异。注册者来自145个不同的国家,但美国和中国占此时间段内所有域名抢注的89%。表5显示了前五个国家的域名注册情况。我们对来自中国和美国的抢注域名集合进行了t检验,以了解属于这些国家的注册者是否以不同的方式选择域名。与美国域名相比,中国域名的域名长度分布完全不同。我们发现,中国域名平均较短(7.5 ±3个字符),而美国注册的域名倾向于避免使用数字(3%),而中国域名更有可能使用数字(25%)。这些差异可能源于中文语言和数字具有象征意义的事实。中国域名也更年轻(32 ±31个月),并且更不可能在其他TLD上注册(0.1 ± 0.4与0.4 ±0.8个不同TLDs)。03.5 域名删除0根据域名生命周期,域名可能在未续订或其所有者有意删除时进入待删除阶段。为了量化因为自然到期而删除的域名的比例,我们提取并分析了被删除域名的创建日期。我们选择了域名的创建日期而不是到期日期,因为在自动续订期间到期日期可能会发生变化,因此无法可靠地衡量域名的状态。总体上,我们从连续两个月中删除的6,637,389个域名的WHOIS记录中提取了创建日期。图7显示了每个域名在删除日期之前多少天创建(我们将持续时间限制为10年)。大多数域名在其删除日期之前445天创建,这意味着0研讨会:2018年4月23日至27日,法国里昂,Web上的安全与隐私0.000.250.500.751.000501001502620特征 自由职业者 域名投资者0年龄54m ± 50m 33m ± 41m0域名长度 11.6 ± 4.7 9.9 ± 3.90Alexa排名13M ± 7M 106K ± 1M0其他TLDs 0.3 ± 0.9 0.8 ± 1.30表3:自由职业者和专业域名投资者的不同特征0聚类大小 电子邮件域名011,325 80010864@qq.com 6,616godaddy2018@qq.com 5,170pub144@hotmail.com 4,562dt0598@outlook.com 3,306 8648240@qq.com3,209 yaomaiyumingzhaowo@126.com0表4:顶级域名注册者的电子邮件地址0国家 注册数量0美国 427,001 中国280,236 日本 34,378香港 15,984 新加坡4,5180表5:按国家划分的注册数量0图7:域名在删除之前的年龄,显示了典型的每年到期间隔的爆发0它们注册了一年(365天),过期后经历了自动续订阶段(45天)、赎回期(30天)和待删除阶段(5天)。这种显著爆发的模式在每年的间隔中持续存在。不遵循此模式的域名是由于稍有不同的注册商政策和域名被所有者过早删除。有趣的是,大多数恶意域名表现出相同的模式,这表明即使在被检测出滥用后,它们仍被允许保持注册状态。04 注册后的使用情况0在本节中,我们描述了域名在注册后的使用方式。我们研究了在删除之前、被捕获后或两者都有恶意内容的域名的特征。然后,我们探索了非恶意域名的使用情况,以了解其买家的意图。04.1 受恶意活动影响的域名0我们的分析始于考虑那些在某个时间点上被知道托管恶意内容的域名。为此,我们密切追踪了在10天内被删除的1802813个域名的注册和状态,我们发现这是一个足够代表性的样本。在每个域名被删除后,我们追踪其在接下来的10天内的注册情况。在被删除的域名中,我们发现有145087个(8%)被捕获。我们在这些被捕获的域名注册日期后的六个月内查询VirusTotal,以检查它们是否变为恶意域名。我们还使用VirusTotal的响应来检查域名的历史记录,以确定其以前是否提供过恶意内容。如果一个域名曾被报告为恶意,我们将其视为恶意域名。否则,我们将其标记为“未知”,因为我们对其状态不确定,并将在第4.3节中调查其活动。图8展示了这些域名的状态转换图。0出现在黑名单中的天数0比例0先前是恶意的 先前是未知的0图9:恶意域名出现在黑名单中所需的天数0未知0未知0未知0未知0图8:被捕获域名的未知和恶意之间的转换0我们发现,被捕获的3893个域名中有历史的恶意活动,其中19.9%的域名即使在删除和重新注册后仍然提供恶意内容。此外,1.2%的未知域名在以前的黑名单中没有出现,也开始提供恶意内容。这些结果突显了过去有恶意的域名与非恶意域名相比,更有可能被用于恶意目的。我们还调查了被捕获的域名开始提供恶意内容的时间范围。图9显示了域名自注册以来出现在黑名单中所需的天数。我们发现超过60%的域名在被捕获后的80天内出现在黑名单中。考虑到提供恶意内容、被检测为恶意和被列入黑名单之间的延迟,这些结果表明超过一半的域名在注册后不久(不到两个月)开始了恶意活动。值得注意的是,与已被标记为恶意的域名相比,以前未知为恶意的域名更快地进入黑名单。04.2 非恶意域名的颠覆0我们对被捕获后变得恶意的域名进行了深入调查,以了解负责的各方。我们利用Google SafeBrowsing(GSB)在80天的时间内跟踪域名,从它们重新注册的前一天开始检查它们是否有恶意活动(由GSB指示)。我们只考虑那些在GSB上不存在的域名。0Track: Security and Privacy on the Web WWW 2018, April 23-27, 2018, Lyon, France5010015005−0105−0205−0305−0405−0505−0605−0705−0805−0905−1005−1105−1205−1305−1405−1505−1605−1705−1805−1905−2005−2105−2205−2305−2405−2505−2605−2705−2805−2905−3005−3106−012630日期0#域名0图10:用于恶意目的的域名数量0在它们重新注册的前一天,这些域名不在列表中,但在重新注册后的4个月内的某个时候进入了列表。这有意地限制了我们对被颠覆域名的分析,即那些曾经是良性的但被用于恶意目的的域名。图10显示了这些域名在我们实验的第一个月中每天的注册数量。总共,我们观察到6,838个在被捕获后变得恶意的域名。其中,6,449个(94%)用于传播恶意软件,351个(5%)用于社交工程,34个用于潜在的不受欢迎的程序(PUPs),4个域名发起多次攻击。我们使用WHOIS记录根据注册者的电子邮件地址对这些域名进行聚类,具体方法在第3.4节中描述。总共,我们找到了901个注册者,其中76个注册者捕获了超过10个域名,最大的集群是dt0598@outlook.com(OUTLOOK),在80天的时间内注册了385个域名。OUTLOOK转变为恶意的域名在80天的时间内被捕获,每天的注册量从一两个到117个不等。总体而言,我们发现许多恶意注册者会批量进行注册活动,一天注册许多域名。例如,图10中5月9日的峰值是由ok358w@qq.com(QQ)和aosornntyr@sina.com(SINA)主要进行批量注册造成的,QQ注册了88个域名,SINA注册了22个域名。QQ注册的域名格式为<6位数字>.net,而SINA注册的域名包含有意义的单词而没有数字。这种行为表明,许多恶意活动是零散和手动进行的,恶意行为者会在任意的日期手动筛选域名列表,而不是通过算法在任何给定的日期寻找最有利的被删除域名。研究注册者的来源揭示了另一个有趣的因素。被颠覆的域名被来自64个不同国家的行为者捕获,但其中5,048个(80%)的域名是由中国注册者注册的。注册者数量排名第二的国家是美国,只有6%的注册者变得恶意。这些统计数据与被捕获域名的一般趋势形成鲜明对比,中国注册者仅占被捕获域名的35%,而美国注册者负责超过一半(53%)。颠覆域名可以作为判断注册者恶意性的良好指标。使用被颠覆域名的列表,我们将负责捕获这些域名的所有注册者集群视为恶意。然后,我们谨慎地删除dropcatchers、域名市场和隐私保护服务的账户,以避免误报。0表6:注册后一个月内被删除的域名的内容0类别 频率0恶意域名0.2% 联盟滥用0.3%停放/广告69.2%错误页面18.1%0生态系统总体 89.6%真实网页内容 <10.4%0因此,我们剩下了812个可能是恶意的注册者。在80天的时间内,共有1,059,050个域名被捕获,其中这812个注册者负责了105,112个(10%),这给我们提供了一个恶意活动所占比例的下限。04.3 重新注册域名的内容0我们研究的一个主要目标是了解dropcatch生态系统的参与者和背后的市场力量。为此,我们收集了一个为期25天的数据集,包括所有被删除和捕获的域名。然后我们使用分布式爬虫来探索这些域名,并进行了标记工作,对所有375,537个域名进行分类。值得注意的是,捕获的域名在转移到最终注册者之前经历了一系列临时状态。例如,在dropcatch.com进行预定后,用户有四天的时间支付费用。在此期间,域名注册显示“该域名被DropCatch.com捕获”,如果注册者不支付,该域名将在hugedomain.com上列出出售。因此,我们在域名被捕获后一个月延迟进行爬取,以确保新所有者有足够的时间控制域名并投入使用。基于内容的分类。我们采取了多阶段的方法来对捕获的网站进行标记。我们在这里简要总结标记过程,并在以下段落中详细解释所有标记步骤和有趣的观察结果。(1)排除通过HTTP无法访问的域名。(2)如果域名被列入黑名单,则标记为“恶意”。(3)如果域名包含恶意内容,则标记为“恶意”。(4)识别“联盟滥用”。(5)根据DNS记录识别“停放/广告”。(6)根据重定向识别“停放/广告”。(7)对视觉上或结构上相似的页面进行聚类和标记。(8)对剩余域名进行随机样本标记。我们的聚类工作的结果在表6中呈现。我们观察到,尽管有相当一部分被删除的域名被用于恶意用途,但它们目前仍然只占到了被捕获域名的一小部分。大多数域名用于为在线赌场提供广告或停放页面,这经常会让访问者接触到社会工程、成人内容、诈骗或恶意软件[37]。少于10.4%的域名用于提供真实的网页内容。总的来说,一个庞大的、价值数百万美元的生态系统[24]主要围绕着利用被删除域名的剩余流量和信任进行资本化,这在网站用户和安全专家的角度来看是有害的。0Track: Web上的安全与隐私 WWW 2018年4月23日-27日,法国里昂Trojan.HTML.Ramnit.A72%W32.Malware.Gen14%JS.eIframeHlNMe.F8412%Win32.Trojan.Raasmd.Auto1.5%Content Clustering Methodology. We now provide the detailsof our clustering methodology, separating the process into the eightsteps summarized in the previous section.(1) One month after re-registration, 12% of the 375,537 domainsthat we studied did not resolve to an IP address and 5.8% did notlisten on port 80.(2&3) We rst identied 2,594 malicious domains by checkingthe domains against the Google Safe Browsing (GSB) service. Wethen extracted the JavaScript and iframes included in all the land-ing pages, yielding a set of 588,104 unique URLs of which 5,474were found to be malicious. These malicious URLs were includedon 3,311 crawled domains, so in total we labeled 5,905 domains asmalicious which were either detected by GSB dir
下载后可阅读完整内容,剩余1页未读,立即下载
cpongm
- 粉丝: 4
- 资源: 2万+
上传资源 快速赚钱
- 我的内容管理 收起
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
会员权益专享
最新资源
- 京瓷TASKalfa系列维修手册:安全与操作指南
- 小波变换在视频压缩中的应用
- Microsoft OfficeXP详解:WordXP、ExcelXP和PowerPointXP
- 雀巢在线媒介投放策划:门户网站与广告效果分析
- 用友NC-V56供应链功能升级详解(84页)
- 计算机病毒与防御策略探索
- 企业网NAT技术实践:2022年部署互联网出口策略
- 软件测试面试必备:概念、原则与常见问题解析
- 2022年Windows IIS服务器内外网配置详解与Serv-U FTP服务器安装
- 中国联通:企业级ICT转型与创新实践
- C#图形图像编程深入解析:GDI+与多媒体应用
- Xilinx AXI Interconnect v2.1用户指南
- DIY编程电缆全攻略:接口类型与自制指南
- 电脑维护与硬盘数据恢复指南
- 计算机网络技术专业剖析:人才培养与改革
- 量化多因子指数增强策略:微观视角的实证分析
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功