攻击者通过Emotet和冒充McAfee来利用域名停放获利（上）

监控分析过程

为了分析当前的停放区域内容，研究人员收集了从2020年3月至2020年9月检测到的停放区域，以及在同一时间范围内其类别从停放被更改为其他类别的停放区域。平均而言，研究人员发现每天发现27000个新的托管域，并重新分类了35000个现有的托管域。总而言之，在过去的六个月中，研究人员的渠道已确定了500万个新的托管域，并将600万个托管域重新分类为其他类别。

图1总结了研究人员如何观察这段时间内的停放域变化，为简单起见，研究人员将“URL过滤”类别分为四类：恶意的、不安全的、可疑的和良性的。恶意类包括恶意软件、命令和控制（C2）、网络钓鱼和灰色软件。成人，赌博和裸体在不安全的工作阶层。对于可疑，研究人员包括可疑、内容不足和高风险域。基于可疑的Web内容，网站被认为是可疑的网站内容，而不足的内容类别通常适用于空白网站，高风险意味着域名显示类似于恶意域名的行为。良性类别包括所有其他类别，如商业和经济、计算机和互联网信息和购物。从图1可以看出，对于托管域，恶意被更改率为1.0％，不安全工作被更改率为2.6％，可疑被更改率为30.6％。相比之下，停放类别的非良性变化率是良性类别的非良性变化率的八倍。

在过去六个月中，研究人员观察到的存放域名的类别列表已被更改

图2显示了研究人员最终分类为恶意和良性的域名在更改类别之前停留的天数分布，研究人员将每10天的停放时间内的类别变化数量进行汇总，并按每个类别的域名总数进行标准化统计。从图2可以看出，超过25.9%的恶意类别停放时间不超过10天，这与大多数良性类别停放时间在60-69天左右明显不同。研究人员推测许多网络罪犯并没有对他们的域名进行老化处理(一种用来逃避基于域名生命周期的检测特征的做法)，而是用它们来尽可能快地进行攻击。

根据最近六个月的观察，在类别被更改发生之前域的停放天数

生态系统和攻击媒介

在本节中，研究人员将进一步研究检测和阻止停放域的好处。研究人员首先将域名停放生态系统分解为不同的利益相关者群体。然后，研究人员证明最大的攻击媒介是域注册，因为攻击者可以注册停放的域并随时将其变为恶意。其次，研究人员表明攻击者可以滥用停放服务所使用的一些较小广告网络对广告控制的缺乏，从而将访问者重定向到恶意或不需要的登陆页面。最后，研究人员证明即使是停放服务本身也会对用户构成隐私威胁。

利益相关者

图3显示了域名停放生态系统中的主要利益相关者群体及其关系，即域名所有者、停放服务提供商、广告网络和广告商。请注意，此处使用的术语“涉众”代表角色，可以指代同一对象或多个对象。域名所有者拥有托管域名，并有动机通过停放服务提供商获利。停放服务提供商整合并组织来自广告网络的对象，以通过用户流量获利。广告网络描述了来自停放域的用户流量，并向感兴趣的广告商的用户展示广告。

域名停放生态系统中的利益相关者及其关系

如前所述，域名所有者需要将其NS记录指向停放服务的名称服务器，以“停放”其域名。研究人员通过检查从2020年3月至2020年9月检测到的停放域的DNS NS记录来衡量服务提供商的受欢迎程度。图4列出了前15个最受欢迎的NS域。大部分托管域名都由大型注册商的NS解决，包括GoDaddy (domaincontrol[.]com)和NameBright (namebrightdns[.]com)。除了大型注册商和托管服务提供商之外，研究人员还确定了几家专门的停放服务提供商。最受欢迎的专用提供商是Sedo (sedoparking[.]com)， 19.5%的域名使用了该服务。

停放服务提供商列表，包括注册服务商，托管提供商和专用停放提供商

域名注册滥用

如果域名变成恶意域名，就会给用户带来威胁。图1显示，1.0%的停放域名最终变成了恶意类别，如C2和malware。有些攻击者似乎会在部署恶意内容之前将页面停放在自己的域中，从而有可能摊销其成本。

例如，研究人员观察了域名valleymedicalandsurgicalclinic[.]com的恶意生命周期，该域名于2020年7月8日注册。研究人员新注册的域检测器发现了这个域，研究人员的停放检测器管道根据网站内容将其分类为“停放”。两个月后，研究人员的恶意软件分析引擎WildFire捕获了多个URL。它是全球Emotet活动的一部分（有关更多信息，请参阅研究人员最近发布的Emotet博客）。 Emotet是通过网络钓鱼电子邮件传播的最受欢迎的恶意软件系列之一，网络钓鱼电子邮件附带的文档包含宏脚本，这些宏脚本从受害者的计算机回调到C2服务器。 Emotet进一步下载木马的有效载荷，窃取受害者的凭据信息，甚至破坏他们的计算机。研究人员可以从这些文件中看到许多可疑的行为，包括不正确的文件扩展名以及与多个C2服务器的通信，例如50.91.114[.]38 和 51.38.124[.]206，图5中概述了Emotet活动的各个阶段。

截止目前研究人员观察到的活动都是使用全球多个域发起的，在此攻击期间，Palo Alto Networks观察到针对包括美国、英国、法国、日本、韩国和意大利在内的全球各个行业（例如教育，政府，能源，制造，建筑和电信）的组织的攻击。针对法国组织的攻击还利用了COVID-19全球大流行：它使用Covid19作为网络钓鱼电子邮件的主题，不过攻击均未成功。

Emotet活动的各个阶段的示意图

广告滥用

域名停放生态系统依靠广告商从用户流量中获利，如前所述，停放服务可以向用户显示广告列表（并根据用户对这些广告的点击次数获得报酬），或自动将用户重定向到广告客户的网页（并根据用户的访问次数获得报酬）。停放服务和广告网络通常没有过滤恶意广告主（即攻击者）的手段或意愿。因此，用户会面临各种威胁，例如恶意软件传播、潜在有害程序（PUP）传播和网络钓鱼诈骗。根据研究人员的经验，研究人员会经常观察灰色软件的分布。

研究人员观察到攻击者滥用与当前美国总统大选有关的域名Peoplesvote[.]uk，这是由于缺乏控制而允许的第七大最受欢迎的域名停放服务，如图4所示。在访问Peoplesvote[.]uk时，大多数时候都会向用户显示一个广告列表页面，如图6所示。不过，有时用户会首先被重定向到0redira[.]com/jr.php，它承载了一个开发工具包脚本，随后被重定向到一个调查网站，询问用户的投票偏好，如图7所示。停放在0redira[.]com/jr.php上的开发工具包脚本会静默地对浏览器进行指纹识别，以跟踪用户的web活动并隐藏登陆url。值得注意的是，这些页面在撰写本文时仍然是活跃的。

在访问peoplesvote[.]uk时经常看到的广告列表页面

投票偏好登录页面，有时在访问peoplesvote[.]uk并将其重定向到调查网站后看到的

此外，研究人员观察到攻击者滥用最大的专用停放服务提供商Sedo，他们找到了一个停放域名xifinity[.]com，它是模仿xifinity[.]com的域名抢注域名。SEDO 是全球领先的拥有全方位配套服务的网络域名交易商和停放商。 公司总部坐落在德国科隆，并在美国波士顿和英国伦敦拥有分部。目前有超过200多万的客户，以20多种种语言在Sedo的平台上进行域名交易。当用户尝试访问Xfinity网站但无意中输入了其他“i”时，他们将转到xifinity[.]com，并将其重定向到广告客户页面。研究人员确定到该域的流量已出售给多个广告客户，其中一个广告商softonic[.]com，负责为用户提供一个软件下载页面。

除了合法的广告商外，研究人员还捕获了攻击者对PUP的多次重定向。图8显示了滥用登陆页面之一，即域名抢占级别的 antivirus-protection[.]com-123[.]xyz。登陆页面试图诱使用户相信他们的计算机已被感染，并且他们的McAfee订阅已过期。点击“继续”按钮会将用户重定向到提供防病毒订阅的合法McAfee下载页面，研究人员认为，攻击者滥用McAfee的会员计划来窃取广告收入。

与其他托管域名相比，xifinity[.]com作为域名抢注域名拥有很高的访问量。从2020年6月到2020年9月，研究人员在被动DNS数据集中观察到对xifinity[.]com的1000多个DNS请求，截至撰写本文时，该域仍处于活动状态，antivirus-protection[.]com-123[.]xyz也是如此。从域名所有者的角度来看，使用停放服务是一种通过用户流量获利的便捷方法。但是，由于不过滤滥用广告客户（即攻击者），因此用户面临各种威胁。

登录页面模仿McAfee访问xifinity[.]com

停放服务滥用

研究人员使用最受欢迎的第14位停放服务提供商ztomy[.]com观察了几个停放的页面，它们收集了访问者的个人信息。研究人员发现，这些页面会生成用户浏览器的指纹，并将其发送回所停放的域。停放的页面使用的是来自pxlgnpgecom-a.akamaihd[.]net/javascripts/browserfp.min的浏览器指纹脚本，该脚本收集各种私人信息并跟踪用户行为。这些浏览器指纹可用于跟踪访问者的在线活动，从而使广告网络可以针对访问者量身定制广告。此外，域名所有者在网上抱怨说，他们域的NS记录被配置为在没有意识的情况下将NS服务器捆绑在一起，这可被视为一种域劫持的形式。

使用ztomy[.]com作为停放服务提供者的停放域bridgeplatform[.]biz的示例

总结

总而言之，托管域会使用户面临威胁，因为他们可以将访问者重定向到恶意或不需要的登陆页面，或者将来完全变为恶意。由于它们的实用程序存在漏洞，并且当研究人员的系统值得分配新类别时，研究人员的系统可以快速对它们进行重新分类，因此研究人员建议Palo Alto Networks下一代防火墙客户使用URL过滤或DNS安全性来阻止该停放类别。尽管由于潜在的误报，某些人可能认为这有点过分谨慎，但研究人员建议设置警报以在最低限度内获得更多攻击预警。

本文翻译自：https://unit42.paloaltonetworks.com/domain-parking/如若转载，请注明原文地址：