顶级域名(TLD)(如 .com、.net、.xxx 和 .hu)位于域名系统的最高级别。顶级域名的定价策略、注册限制、安全措施以及与其他顶级域名的相似度(如 .cm 与 .com)都会影响犯罪分子的购买意图。
在一千余个顶级域名中,按恶意域名数量进行排行,前 25 个顶级域名中恶意域名的数量占恶意域名总量的 90 %以上。关注这 25 个恶意域名可以帮助我们更好地了解恶意域名,例如钓鱼域名的首选域名是那些提供免费注册的顶级域名。
前十个恶意域名比例最高的顶级域名中,有六个是发展中国家的顶级域名。例如恶名远播的顶级域名 .zw 比平均值还要高七个标准差,研究发现更多是因为被入侵而非恶意注册。另一个例子是 .pw 的钓鱼域名注册率高出平均值七个标准差。顶级域名的信誉度可以作为域名是否恶意的判断特征之一。
域名系统
以域名 unit42.paloaltonetworks.com 为例。该域名分为三部分,其中 .com 是顶级域名,而 Palo Alto Networks 在 .com 下购买了 paloaltonetworks.com 注册域名的所有权。该公司可以为不同的部门注册下一级域名的使用权限,例如 unit42.paloaltonetworks.com。
示例域名
值得注意的是,顶级域名并非只有 .com 这种一级的形式,还有像 .co.uk 这种二级的形式。
顶级域名分为两类:
通用顶级域名(gTLD):在 ICANN 的监管下由私营公司控制并运营,如.com、.xxx 和 .google 等。
国家/地区顶级域名(ccTLD):由国家/地区监管并运营,通常也会交给私营公司管理,如.us、.cn 和 .hu 等。
负责运营和维护域名注册的单位是注册管理机构。如果是通用顶级域名的注册管理机构,还负责制定有关定价、身份确认和购买限制等相关政策。这些政策会影响犯罪分子是否采用该顶级域名,免费或者较低的价格以及宽松的检查政策都会吸引犯罪分子使用。
域名数据
收集 2021 年 10 月 7 日的数据进行分析,有如下方式进行处理:
利用 Palo Alto Networks 的高级 URL 过滤服务判断域名的恶意性。
检查 Zone 文件、Passive DNS 收集、主动 DNS 请求验证域名的存在性。
不考虑域名停放、未知域名、水坑等特殊情况。
保留至少有一百个域名的顶级域名。
Palo Alto Networks 将恶意域名分为四类:
Malware(恶意软件)
Phishing(钓鱼网站)
C&C(命令控制服务器)
Grayware(风险软件)
除此之外,还有一些敏感的域名可能也需要进行过滤,如动态 DNS、成人网站、赌博网站、代理节点、Tor 等。
恶意域名数量
不出所料,.com 中的恶意域名数量最多,有近一半的恶意域名都在 .com域名下。
各类域名的累积分布图
下表显示了注册域名总数、各类恶意域名数量和敏感域名的情况。越“平坦”的曲线表明该类域名在各个顶级域名下分布均匀,但犯罪分子往往显出偏向性:
超过 99% 的 C&C 域集中在 29 个顶级域名。
超过 99% 的域名集中在 219 个顶级域名中。
Phishing(钓鱼网站)是分布最均匀的恶意域名。
超过 99% 的钓鱼域名集中在 92 个顶级域名中。
各类域名 TOP 排行与累积分布表
.com 拥有近半的注册域名和恶意域名,不过该域名的注册机构积极清理恶意域名。
通过表中可以看到,如 .pw、.ml、.club、.cf 和 .top 在某些类型上排名靠前,但整体恶意域名的数量并不非常多。.xyz 在总量上并没有排名前十,但在钓鱼域名上恶意域名数量仅次于 .com 并且在风险软件上数量最多。
而像 .de 和 .uk 没有在任何恶意类型的前十出现,这两个顶级域名的恶意域名数量大大低于平均值。这表明,负责任的顶级域名注册管理机构可以帮助遏制恶意域名的滥用。
网络钓鱼域名常用的顶级域名,有一半都不在总量排名最多的前十位,这说明网络钓鱼的攻击者对顶级域名有自己的选择方式。通过抽检,可以发现大量针对大型科技公司的钓鱼。因为疫情大流行,与 COVID-19 相关的钓鱼域名也很多。
一些国家/地区的恶意域名数量惊人,有的比所在国家/地区的人口要多得多。与德国的 .de 相比,有些顶级域名甚至会高出数十万倍。
部分国家/地区顶级域名与德国顶级域名比较统计表
太平洋岛国托克劳管理的顶级域名是 .tk,域名注册收入占其总收入的六分之一。该顶级域名提供免费注册,不靠域名注册挣钱可以靠广告。但这域名政策带来了大量的滥用,很多垃圾邮件与敏感内容都使用该顶级域名。
由 Freenom 运营的顶级域名 .tk、.ga、.cf 和 .ml 都出现在网络钓鱼域名分类的前列。这些国家/地区域名都归发展中国家所有,可能是为了域名注册的收入就不顾恶意注册带来的问题,但实际上纵容网络犯罪带来的损失远比域名注册的收入大得多。
除了免费注册的顶级域名外,像 .xyz 和 .icu 等顶级域名只收取几美元的注册费用,低廉的价格也使得它们成为攻击者的心头好。
恶意域名比例
MAD 为中位数绝对偏差,当异常值偏向平均值时 MAD 比标准差更能反应数据情况。
各类域名在顶级域名中的比例排行
如上图所示,可以发现某些顶级域名的恶意比例非常高,例如 .zw、.bd 与 .ke。但其实这些域名的注册费用是 .com 的 4-14 倍不等,这令人非常诧异。经过分析后,这些域名很多并非恶意注册,而是被攻击者攻陷的恶意利用。因为网站的防护不到位,也存在更多的安全漏洞。
特别的是,.cm 在风险软件中排名第六,在钓鱼网站中排名第十二。可能是 .cm 与 .com 类似,犯罪分子将其用于网络钓鱼可以减少怀疑。
敏感域名
除了恶意域名外,组织还可能想要阻止敏感域名,如成人网站和赌博网站。
顶级域名中敏感域名的统计
有些顶级域名中有相当大比例的域名都是敏感域名。尽管敏感域名的类别很多,但很多都是成人网站和赌博网站。
结论
绝大多数恶意域名都集中在少数顶级域中,这位研究与打击恶意域名提供了机会。基于顶级域名的信誉度也可以帮助对域名进行分类,如恶意或者良性。