DNS前沿 | 研究人员通过分析DNS记录来捕捉恶意储存的域名

来源:本文源自cybersecuritynews,由ZDNS进行翻译

原文链接:https://cybersecuritynews.com/#

关键词:域名安全 网络钓鱼

前言

随着数字威胁日益复杂化和恶意行为者的不断演变,网络安全研究人员的角色变得至关重要。在这篇文章中,我们聚焦于DNS(Domain Name System)前沿,研究人员通过分析DNS记录揭示了一系列威胁性的恶意积压域名,这些域名被威胁行为者用于未来的多种恶意活动。

 

最近,研究人员追踪了恶意积压的域名,这些域名是威胁行为者预先获取的,用于未来的多种恶意活动,包括:

 

  •  钓鱼攻击
  •  恶意软件分发
  •  诈骗
  •  不受欢迎的程序分发
  •  恶意搜索引擎优化(SEO)
  •  非法内容分发

尽管这些域名通常最初被保持未使用以躲避检测,但后来在需要时由威胁行为者激活,以进行:

  •  利用漏洞
  •  欺骗用户

最近,Palo Alto Networks的Unit 42的网络安全研究人员在分析DNS记录时追踪了这些恶意积压的域名。

恶意积压的域名是通过攻击者自动化在各种数据源中留下的痕迹,这些痕迹可以被安全防御者在诸如证书透明日志和被动DNS(pDNS)等位置检测到。研究人员使用信息位来创建一个积压域名检测器,具有更广泛的恶意域名覆盖范围和早期检测的优势。

此外,他们利用了300多个特征来处理包括数千亿pDNS和证书记录在内的大量数据。对恶意和良性域名的庞大知识库有助于以下关键方面:

  •  声望计算
  •  对Random Forest机器学习算法进行训练

为了检测积压的域名,研究人员收集了以下六类特征:

  • 证书特征
  •  域名词法特征
  •  证书域聚合特征
  •  证书声望和聚合特征
  •  pDNS和证书聚合特征
  •  pDNS声望和聚合特征

Unit 42的检测器在一个重定向活动中检测到了9000多个恶意域名。

这一检测率显示了该检测器的先进能力,超过了VirusTotal的31.7%检测率。Unit 42在平均32.3天之前检测到了它们。

尽管Cloudflare使用pDNS ID 使pDNS ID复杂化,但研究人员通过共享特征追踪了随机域名生成。在该活动中,受害者被重定向到广告软件或欺诈页面,显示:

  • 假通知
  •  点击诱导广告

据Palo Alto的一份报告称,在意大利和德国发现了一次针对用户的网络钓鱼活动。检测器在该活动中找到了相关域名。此外,还有另一次冒充USPS的活动。在这种情况下,于2023年6月17日至8月28日之间使用了超过30个域名。报告指出,这些域名是在四个证书下注册和认证的。

域名的聚合和同步创建表明存在自动化的威胁行为者参与。一次活动使用了17个以上的域名,专注于高收益投资诈骗,使用了共同特征,如:

  •  证书长度
  •  IP地址

然而,所有受害者都被承诺轻松获得金钱,通过页面和复选框进行确认钓鱼。

威胁行为者积极地在域名战争中自动化他们的设置,但是,大规模注册留下了许多可检测的痕迹。然而,成功仍然依赖于防御者合并数据集来揭示恶意活动。

结语

 

在网络安全的前线,持续不断的威胁演变着,要求我们的反制手段也必须保持同步。本文所呈现的关于DNS前沿的研究,突显了研究人员在揭示恶意积压域名方面的卓越工作。通过深入分析DNS记录,他们不仅成功追踪了威胁行为者的活动,还提供了有力的工具和洞见,帮助网络安全专业人员更好地应对未来的数字威胁。

 

在数字时代,保护网络生态系统的安全需要全球范围内的协作和信息共享。通过不懈努力,我们能够更好地理解并对抗恶意行为,为一个更安全的网络环境奠定基础。希望这篇文章为读者提供了启示,激发了对网络安全的关注,并促使更多人投身于这一挑战性而又迫切的领域。

原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/35700.html

(0)
速盾高防cdn's avatar速盾高防cdn
上一篇 2024年4月25日 下午6:01
下一篇 2024年4月25日 下午6:40

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注