2019 NDSS 理解和分析恶意域名撤销
domain take-down = domain seizure YouTube:https://www.youtube.com/watch?v=bbift0eukDg
关键词: 域删除
撤销操作旨在中断包含恶意域的网络犯罪。在过去的十年里,已经报告了许多成功的撤销操作,包括Conficker蠕虫,以及最近针对VPNFilter的操作。虽然它在打击网络犯罪方面发挥重要的作用,但域名撤销程序仍然不透明。目前没有研究深度地理解了撤销操作如何工作以及是否确保其安全性和可靠性。
在本文中,我们报告了第一个关于域删除的系统研究。我们的研究是通过大量数据实现的,包括各种sinkhole feeds和黑名单,六年的被动DNS数据以及历史WHOIS信息。在这些数据集上,我们构建了一种独特的方法,广泛使用各种反向查找和其他数据分析技术来解决识别撤销域,sinkhole操作和撤销持续时间的挑战。在数据上应用该方法,我们发现了超过620K的撤销域,并对撤销过程进行了纵向分析,从而有助于更好地理解操作及其弱点。我们发现,在过去的十个月中,超过14%的域名已经被释放回域名市场,并且一些已发布的域名在被捕获和被占用之前已经被恶意行为者再次购回。此外,我们发现对应于撤销域的DNS记录的错误配置允许我们劫持被FBI占用的域。此外,我们发现过期的sinkholes导致大约30K的下行域转移,其流量现在由新的所有者控制。
ICANN Zeus domain removal list
360 Netlab 25
DGA de- tection tool:7:https://github.com/philarkwright/DGA-Detection.
sinkhole list:Emerging Threat rules 、online lists[6,22]WHOIS:8黑名单:HpHosts,PhishTank、Malware Domain Blocklist、Zeus Tracker、Malc0de、Conifcker、Randsomware TrackerWayBack Machine:捕获域名快照DNS被动Farsight 13由于违反了ICANN,注册管理机构和注册商定义的可接受使用政策(AUP)而导致其目前注册所有者的主要名称被删除(品牌错字,以及非法内容分发,如销售假冒产品的网站和托管恶意内容的网站);
涉及不同级别的一些方面和登记,有时在不同的国家,每个组织都有自己的规则和条例。 这些方包括:撤职请求者,撤职权限和撤职执行人。 它还涉及Internet名称系统的受影响元素,例如DNS,WHOIS和注册表域池。
撤销由请求着发起(该提交者主要报告域的违规行为并提交暂停其操作的请求)ICANN提供了提出撤销的具体步骤Take-down authorities:专门从事域名撤销的第三方服务(eg.品牌保护公司)一般和requster同一方Take-down executor:执行撤销过程,更改Internet name system等某些情况下,撤销操作涉及将域的所有权转移给撤销请求者以便更好监督
通过对Internet名称系统进行更改来实现域名删除,从根本上撤消其当前所有者的访问权限。 这可以通过重定向域的流量和退出域来实现。
domain sinkholing:重定向撤销域名流量,原因:提醒受害者、防止受感染的机器试图连接到新的C&C域或为研究目的收集流量。Sinkholes由第三方服务运营和管理,如Shadowserver(第三方服务) ,联邦调查局(authorities)或GoDaddy(executors)等下线执行机构。 - NS重定向 - NS不变,A直接重定向IPdomain delisting:removing发现:reserved domains(保留域名,由于名称冲突或由于域名短被锁定)案例:Microsoft miscrosoft撤销了五个僵尸网络:Dorkbot、Ramnit、Shulock、Citadel、ZeroAccess 通过起诉未命名的被告John获得域名和IP扣押令 在审查所提供的违法行为的证据后,法院发布了数百个域名和IP地址的查封通知。这些通知详细说明了域名缉获方法的具体细节,即通过将其NS记录设置为指向微软的漏洞*.microsoftinternetsafety.net 来清除被占用的域名
EPP:可扩展供应协议(EPP)域状态代码(也称为域名状态代码)指示域名注册的状态。每个域至少有一个状态代码,但它们也可以有多个。
有两种不同类型的EPP状态代码:客户端和服务器代码。客户端状态代码由注册商设置。一些注册商在您注册域名时会自动制定某些状态代码,而其他注册商会在您请求时这样做。服务器状态代码由注册表设置,它们优先于客户端代码。当您为域运行Whois查找时,会显示这两种状态代码
serverHold:此状态代码由您的域的注册管理执行机构设置。您的域名未在DNS中激活。如果您提供了委派信息(名称服务器),则此状态可能表示您的域需要解决的问题。如果是这样,您应该联系您的注册商以获取更多信息。如果您的域名没有任何问题,但您需要在DNS中解决,则必须先与注册商联系,以便提供必要的授权信息。clientHold:此状态代码告知您的域的注册表不会在DNS中激活您的域,因此无法解析。这种情况不常见,通常在法律纠纷,不付款或您的域名被删除时颁布。通常,此状态表示您的域需要解决的问题。如果是这样,您应该联系您的注册商以解决问题。如果您的域名没有任何问题,但需要解决,则必须先与注册商联系,并请求他们删除此状态代码。域生成算法(DGAs)
域名撤销可以很好地打击网络犯罪,它涵盖着不同方面的内容(步骤、参与者、元素)。目前没有研究对其撤销过程进行深入地理解和分析。
滥用域在被删除之前保持活动状态多长时间?被释放的域名在被释放之前被限制了多长时间?被释放后,域名可以在多长时间内购买?这个过程中是否存在安全漏洞?最佳的撤销实践是什么?研究攻击模型:认为对手能够利用域名中的漏洞来重新控制以前被删除的域名
本文包括第一个关于领域拆卸的系统研究,以了解这一过程并研究其安全性和可靠性。 我们强调了利用WHOIS信息和PDNS数据来确定下放的域并描述其下放生命周期的能力。 在分析625,692个拆除域及其生命周期时,我们的研究为拆除操作提供了新的视角,并突出了关于井眼操作员的安全关键观察。 这有助于确定一系列重要的最佳实践,以避免这些服务的漏洞并提高其对抗网络犯罪的有效性。
利用各种反向查找技术来查找撤销的数据;通过搜索各种在线报道手动建立一个撤销名称服务器和IP地址列表,并反向WHOIS查找已知的sinkhole注册信息,如联系信息,以找到隐藏的sinkhole。 此外,我们的方法利用PDNS确定其撤销持续时间和发布日期,并解决PDNS数据聚合引入的挑战。
如何识别撤销域名被sinkholing or delist?
收集一系列恶意域名(黑名单&sinkhole服务器),确定了一组来自不同来源的sinkholes名称服务器/ IP,然后定义了一组标准来验证这些sinkhole(利用了一些技术发现新的sinkhole)通过sinkholes域名收集了域名,以找到606,880个域名,其中465942个域名来自于8个黑名单被动DNS测量结果和历史WHOIS识别撤销域:发现了625692个撤销域名malicious domain:来自于sinkholes IP反向解析 & 黑名单,被动测量数据+历史WHOIS识别撤销域名
Identifying sinkhole operators:找sinkhole IP:手动审查已发布的下放法院命令、描述撤销事件的安全报告;使用PDNS数据检查报告时间内这些sinkholed域的NS和A记录的变化,以找到负责清除它们的名称服务器/ IP;使用ZeuS domain removal list(包括已被清理或占用而不再构成危害的域列表)。利用一些公布的sinkhole lists要求:1)sinkholes必须由可识别方操作,2)名称服务器专门用于sinkhole,3)名称服务器sinkhole中用的域的所有权不会因到期而改变发现未报道的sinkhole nameservers:使用操作者email 地址去WHOIS反向解析识别,然后利用被动DNS来检索一个可能的sinkhole作为名称服务器的所有域,并且仅考虑返回超过1K域的sinkholes。接着随机对这些返回的域进行采样并检查其名称是否存在以前恶意使用的迹象,通过这种方式,确定解析此域的名称服务器是一个sinkhole。收集黑名单中的域名综合,过滤:云服务、动态IP、bulk registration、URL shortening services、adNetwork。最终独特域名有1067968个
使用PDNS数据集中Dm记录来识别撤销域名sinkholing的时间
识别sinkholed domains D s D_s Ds可能不是但是它的子域是。遍历了DM中每个域的PDNS记录的解析历史,通过检查其A和NS记录来查找sinkholing。 我们认为只有当它的顶点域或其名称服务器被污染时,域才会被sinkholed。 删除了那些仅在很短的时间内(一秒钟)才能看到的记录2。
label:
sinkholed:IP在sinkhole listpossibleSinkholed:nameserver中包含“sinkhole”、“seize”等关键词但是不确定那个server ip为sinkhole servernotSinkholed:不能识别其operators**检查sinkholed 域名的持续时间:**根据PDNS中的时间戳(PDNS记录中给出first和last时间),但是,Farsight的PDNS中的DNS查询记录是从两个来源独立收集的:TLD区域文件(对于某些支持的TLD)和Farsight的DNS传感器,有关持续时间的数据分散在来自不同资源的多个记录中。 **如何利用所有这些来源的记录来估计一个域的sinkholed持续时间?**检查重叠与未重叠,较长的持续时间分解为较短的持续时间或合并两个重叠的持续时间。
难以处理因为它们没有出现在PDNS,使用WHOIS
WOHIS识别: WHOIS中SERVERHOLD/CLIENTHOLD可能指示出taker-down executor
查了REDEMPTION-PERIOD或PENDINGDELETE是否出现在域的状态字段中,这表示删除寻找自动更新的标志(即AUTORENEWPERIOD)。 如果这些代码中的任何一个与保持标志一起设置,则强烈表明保持不是由撤销动作引起的某些域在到期后可能没有上述标志——设置其他启发式方法来确定域名是否即将被删除或处于自动续订阶段
首先检查了保留是否在域名到期日之后如果没有,我们仍然需要考虑由于自动续订而设置暂停的可能性,即使在所有者支付之前,某些注册管理机构还会将域名延长一年。 此类续订域名将放置在CLIENTHOLD上,等待所有者付款。 我们通过查看更新日期和到期日来确定此类记录。 如果差异是一年,我们保守地假设持有是由于未付款,并且不认为该域名被摘牌。注册管理机构要求新注册的WHOIS记录在15天内由其注册人进行验证。 之后,CLIENTHOLD设置为未验证的。 我们检查了是否在创建域名后的15天内进行了暂停。 如果是这样,我们不会将其视为已除名的域名。数据集有限,手动验证
Take-down duration extension: 识别delisted、对比sinkholed domains重叠部分。如果该域名在被淘汰后被搁置,则其延迟期限将延长至其WHOIS记录的到期日期。
625,692个seized domains
域名删除通常用于破坏僵尸网络C&C,其中被占用的域通常由域生成算法(DGAs)生成
-> 在seized domain list中识别DGA域名(405330, 64.78%)
超过97%域名撤销都靠sinkhole技术
抢占行动: 撤销方有时会抢占可能设计网络犯罪的域名(大多DGA),在用于恶意活动之前被sinkholed。通过检查PDNS记录识别抢占行为(first指向sinkhole)。发现388378个类似域名(受PDNS开始时间限制),使用Wayback Machine drop掉可能在PDNS之前出现的domain,最终388369个,其中92%是DGA生成。剩下8%也是但是分类器误分。
sinkhole operator
TLD
Active durationg: 从第一次出现在PDNS到被sinkholed。持续时间显示了域名撤销行动中各方的干预。(第一个问题:滥用域被token-down需要多长时间)
排除了preemptive sinkholed domain
a:不同operators b:不同TLD
sinkhole duration:
(第二个问题:release之前限制多长时间) a:每个运营商的域的sinkhole持续时间的分布 b:不同TLS时间
Sinkhole hopping: 4,418个域不止一次sinkholing,认为超过75天认为重新注册。340个域似乎是重新注册的域。
adversary对old domain感兴趣
由一个sinkhole后比另一个sinkhole
Dangling sinkhole Dangling DNS record:DNS记录指向旧的DNS记录(指向不再分配给域所有者的服务),给DNS劫持带来了机会。在一个sinkholed domain发现了这个风险。错误配置允许攻击者通过将A记录设置为他/她控制的IP地址来劫持漏洞域。发现执法机构使用亚马逊提供的托管DNS服务,此服务用于管理恶意域carders.org的DNS记录,作为撤销操作的一部分。
图9:当DNS服务的执法帐户被停用时,Amazon Route 53会将记录集释放到可用池中。 但是,域名(.org)TLD区域的NS记录仍然指向之前提供的DNS服务。
成功地在NS记录上获得了一个这样的服务器(即ns-1168.awsdns-18.org),并将carders.org的新A记录设置为我们控制的IP(18.188.96.3),成功劫持
过期sinkhole:些sinkhole名称服务器的域被允许过期而不更新sinkholed域的NS记录,攻击者可以购买过期的sinkhole server IP作为控制IP
分析在数据集中被taken-down的域名是否可购买 56.46% domains 在过去6年被释放, 其中52.13%是DGA doamins 7148(14.14%)在10个月后被毁到公共注册池
blacklists包括:释放再利用恶意domain、sinkholed domain(不太可能区分)
我们的方法: :1. 首先确定了不同参与者至少两次sinkholed的域名(时间跨度标记为release time) 2. 过滤了其释放持续时间超过75天的域(允许再次注册) 3. 通过检查PDNS以确定它们是否被分配到IP来检查这些域在其发布持续时间内是否确实是活动的 4. 获得了133个域名,检查了Wayback Machine以查看它是否具有这些域的历史快照,发现两个确定行为:
- on-drugstore.com:域名被查封三次,2008年注册,2009转移注册商,2010年sinkhole,2010-06-17与另一个注册商(即101域)重新注册,在2017年3月16日被包括联邦调查局在内的执法机构taken-down。(a squatting domain) - ugnazi.com:黑客组织。2012-06-26倍FBItaken down,在域名到期后,注册人信息变为私有,在2014年7月22日,该记录显示该域名被一个声称是原始黑手党组织的团体重新购买,并且在撰写本研究之日仍在运行。