域名抢注：攻击者模仿骗局消费者的主要品牌网域（包括Facebook，Apple，Amazon和Netflix）-翻译转载

本文于2021年1月7日由AlvinCR更新

机翻+转载 https://unit42.paloaltonetworks.com/cybersquatting/
转载原因是因为我的博客受到攻击，通过查询弹出图片找到的这个网站（我的博客被攻击和这个网站没任何关系）

执行摘要
互联网上的用户依靠域名来查找品牌，服务，专业人士和个人网站。网络罪犯通过注册与现有域名或品牌相关的名称来利用域名在互联网上扮演的重要角色，目的是从用户错误中获利。这就是所谓的域名抢注。域名抢注的目的是使用户误以为目标品牌（例如Netflix）拥有这些域名（例如netflix -payments [。] com）或从用户的输入错误（例如whatsa l pp [ 。] com for WhatsApp）。虽然域名抢注并不总是对用户恶意，但在美国却是非法的，[1] 域名抢注和域名抢注通常用于攻击。

Palo Alto Networks域名抢注检测器系统发现，2019年12月注册了13857个域名抢注域名，平均每天450个。我们发现，有2595个（18.59％）的域名受到恶意攻击，经常散布恶意软件或进行网络钓鱼攻击，而我们研究的5104个（36.57％）的域名对访问它们的用户构成了高风险，这意味着他们拥有与恶意URL相关的证据在域内或正在使用防弹托管。

我们还根据调整后的恶意率在2019年12月将前20个最常滥用的域名排名为最高域名，这意味着一个域名是许多域名抢注的目标，或者其中大多数域名被确认为恶意域名。我们发现域名抢注者更喜欢有利可图的目标，例如主流搜索引擎和社交媒体，金融，购物和银行网站。当访问这些站点时，用户通常会准备好共享敏感信息，这使它们容易受到网络钓鱼和诈骗的侵害，从而使他们可以欺骗诱骗者访问蹲入域，从而窃取敏感凭据或金钱。

 

从2019年12月至今，我们观察到了具有不同目标的各种恶意域：

网络钓鱼：域模仿富国银行（确保以下富国银行集团[。]组织）目标客户，以窃取敏感信息，包括电子邮件证书和PIN码的ATM。此外，模仿亚马逊的域（amazon -india [。] online）设置为窃取用户凭据，特别是针对印度的移动用户。
恶意软件分发：域模仿三星（三星eblya iphone [。] COM）主办Azorult恶意软件窃取信用卡信息。
命令和控制（C2）：模仿Microsoft的域（microsoft-store-drm-server [。] com和microsoft-sback-server [。] com）试图进行C2攻击以危害整个网络。
重新计费骗局：模仿Netflix的多个网络钓鱼站点（例如netflix brazilcovid [。] com）设置为抢劫受害者的钱，方法是首先提供少量的初始付款来订购减肥药等产品。但是，如果用户在促销期后没有取消订阅，则信用卡的费用会高得多，通常为$ 50-100。
潜在有害程序（PUP）：模仿Walmart（walrmart 44 [。] com）和Samsung（samsung pr0mo [。] online）分发PUP的域，例如间谍软件，广告软件或浏览器扩展。他们通常会执行不需要的更改，例如更改浏览器的默认页面或劫持浏览器以插入广告。值得一提的是，三星域名看起来像是一个合法的澳大利亚教育新闻网站。
技术支持诈骗：模仿Microsoft的域（例如microsoft -alert [。] club）试图吓users用户支付虚假的客户支持费用。
奖励骗局：模仿Facebook的域（facebook winners2020 [。] com）向用户骗取奖励，例如免费产品或金钱。要领取奖金，用户需要在表格中填写其个人信息，例如出生日期，电话号码，职业和收入。
域名停放：模仿RBC皇家银行（rby royalbank [。] com）的域名，它利用流行的停车服务ParkingCrew，根据登陆该网站的用户数量和点击广告来产生利润。
我们研究了域名抢注技术，包括错别字抢注，连击抢注，级别抢注，位抢注和同形字抢注（以下均定义）。恶意行为者可以使用这些技术来分发恶意软件或进行欺诈和网络钓鱼活动。

为了检测域名抢注，Palo Alto Networks开发了一个自动化系统，可以从新注册的域名以及被动DNS（pDNS）数据中捕获新兴的活动。我们将继续检测当前活跃的域名抢注域-我们识别恶意和可疑的域名抢注域，并将其指定为适当的类别（例如网络钓鱼，恶意软件，C2或灰色软件）。多个Palo Alto Networks安全订阅（包括URL过滤和DNS安全）中提供了针对这些类别中的域的保护。

我们建议企业阻止并密切监视来自这些域的流量，而消费者应确保他们正确输入域名，并在进入任何站点之前仔细检查域所有者是否受信任。有关如何防止网络攻击的更多技巧，请参见这篇文章。

蹲法
注册近似域名是最常见的类型域注册滥用之一。盗版者有意注册目标域名（whatsapp [。] com）的拼写错误的变体（例如whatsa l pp [。] com），以从用户的输入错误中获利或欺骗用户以为他们认为自己正在访问正确的目标域。最常见的域名抢注技术包括注册与原始域相距一个编辑距离的名称，因为这是用户犯下的最常见且被忽略的错误。有关更多信息，读者可以参考有关域名抢注的规模和恶意使用的学术研究论文。

抢注是另一种普遍的滥用注册行为，它将流行商标与诸如“安全”，“付款”或“验证”之类的词结合在一起。诸如netflix -payments.com之类的组合域名通常用于网络钓鱼电子邮件，骗局网站和社会工程攻击，以说服用户他们正在访问由目标商标维护的Web内容。欲了解更多信息，读者可以参考本论文进行纵深研究。

Homographsquatting域利用国际化域名（IDN），其中Unicode字符被允许的（如microsof ŧ [。] COM）。攻击者通常用另一种语言的视觉相似字符替换目标域中的一个或多个字符。这些域与目标完全没有区别，例如apple.com，其中英文字母“ a”（U + 0061）被西里尔字母“а”（U + 0430）代替。有关更多信息，读者可以参考有关IDN的学术研究论文。

抢注域利用了同音字，即听起来相似的单词（例如，天气以及是否）。攻击者可以注册流行域的同音变体，如4个ever21 [] COM为用于ever21 [] COM。随着Siri和Google Assistant等文本语音转换软件的普及，越来越多的用户将容易受到滥用域名抢注的攻击。欲了解更多信息，读者可以参考这篇有关声音抢占的学术研究论文。

Bitsquatting域具有一个字符，在一个位不同（如麦克风p osoft [。] COM从相同的字符）作为靶向域合法（MIC ř osoft [。] COM）。由于硬件错误会导致域名临时存储的内存中发生随机位翻转，因此位抢注可以使攻击者受益。因此，即使用户键入正确的域，也可能会导致他们进入恶意域。尽管此类硬件错误通常很少见，但一项学术研究表明，位抢占是真正的威胁。

抢注域，例如安全性。microsoft.com .mdmfmztwjj.l6kan7uf04p102xmpq [。] bid，包括目标品牌的域名作为子域。在此示例中，网络钓鱼攻击的受害者可能认为他们正在安全访问。microsoft.com，相反，他们正在访问攻击者的网站。对于移动用户来说，这种攻击尤其令人担忧，因为浏览器的地址栏可能不够宽，无法显示整个域名。欲了解更多信息，读者可以参考此学术论文，以更全面地研究关域领域。

检测各种蹲法
我们利用词法分析来检测Palo Alto Networks新注册域（NRD）和pDNS feed中的候选蹲域。我们的目标域列表是一般流行域和特定类别（例如购物和企业）中流行域的组合。我们生成目标域名的上述域名变体，并将其与我们的NRD提要和pDNS主机名进行匹配。此外，我们每周收集NRD的集合，以查看注册活动是否针对已知品牌。在最初的发现步骤之后，我们利用WHOIS数据过滤防御性注册，并使用启发式基于规则的分类器来识别哪些域是真正的域名抢注域。

图1显示了2019年12月的每日检测统计数据。在此期间，我们检测到13,857个域名抢注域（每天约450个）。从那以后，每日检测的数量在200-900之间波动。为了了解如何利用这些域进行滥用，我们使用URL过滤对它们进行分类。如果域名涉及分发恶意软件或网络钓鱼，或者被用于命令和控制（C2）通信，我们会将其标记为恶意。我们将归类为灰色软件，已停放，可疑，内容不足和高风险的域名标记为可疑。13,857个域名的平均恶意率为18.59％（2,595），平均可疑率为36.57％（5,104）。

 

图1. 2019年12月每日域名抢注的数量以及恶意和可疑的比率。
接下来，我们将对域名抢注的检测与在VirusTotal上找到的供应商进行比较。考虑到检测延迟，我们允许10天的时间窗口让恶意蹲域出现在VirusTotal上。图2显示了排名前10位的供应商检测到这些恶意和高风险域的情况。表现最好的供应商涵盖了我们检测到的大约25％的恶意或高风险域名抢注域。同时，其他供应商所涵盖的检测不到我们的20％。最后，我们发现任何供应商都未检测到55％的恶意或高风险的域名抢注域。

 

图2. 2019年12月在VirusTotal上进行恶意和高风险的域名抢注检测。
域名抢注生态系统
为了确定恶意基础架构热点，我们研究了盗版者进行操作所依赖的特定网络元素和实体。具体来说，我们研究了域名抢注者使用的流行注册商，名称服务，自治系统和证书颁发机构。

对于以下列出的每个图表，我们考虑了蹲检测的数量以反映其在域擅自占用者中的流行度，以及恶意的IOC率来量化对用户的威胁程度。结合这两个指标，我们计算了每个实体的调整后恶意率。因此，较高的调整恶意率意味着一个实体要么被许多抢占域作为目标，要么这些抢占域中的大多数都是恶意的。

排名前20位最受滥用的域名

域名抢注者更喜欢受欢迎的，因此有利可图的目标。图3显示了使用最广泛的20个域名。这些目标是流行的网站，例如主流搜索引擎和社交媒体，金融，购物和银行网站。模仿这些网站的域名抢注受益于其信誉，可以吸引更多可以被骗的用户。因此，这些目标具有相对较高的蹲检测数。

 

图3. 2019年12月最受滥用的20个顶级域名。
十大最滥用DNS服务和自治系统

接下来，我们研究域名抢注所使用的DNS服务和自治系统（AS），以了解其基础结构偏好。AS是由一个或多个网络运营商维护的一组IP子网。

域名抢注者使用的名称服务通常表示使用哪个注册商来注册域名，托管抢注网页的位置，或者这些域名利用哪种停车服务从用户流量中获利。图4显示了域名抢注最多的域名服务。域名抢注者经常使用Freenom.com和dnspod.com，因为它们提供便宜或免费的域名注册和域名托管。DNSPod以托管阴暗的DNS记录并为恶意的防弹托管操作员提供服务而闻名。域名抢注者可能选择使用registrar.eu，因为它支持无限数量的子域和免费的URL转发，从而降低了部署和扩展攻击的成本。

 

 

图4. 2019年12月最常使用的十大DNS服务。
此外，parkingcrew.net和above.com是受欢迎的停车服务，因为它们通过将域名的DNS记录指向其域名服务器为域名所有者提供了一种简单的获利途径。停车服务通常向用户显示带有广告的停车页面，或将用户重定向到联属网络营销或恶意网站。

由于托管服务通常具有自己的自治系统，因此我们注意到自治系统的分布与名称服务的分布在某种程度上是一致的。滥用最严重的前三个AS（19495、48635、262254）分别属于三个滥用最大的名称服务提供商（freenom.com，registrar.eu，ddos-guard.net）。滥用第四大的AS（40034）属于ztomy.com，这是DNS劫持攻击的首选服务。

 

 

图5. 2019年12月使用最频繁的十大自治系统。
十大最受虐待的注册商

注册服务商是向用户出售域名的实体。滥用最严重的注册商Internet.bs提供域名抢注者偏爱的免费服务，包括受隐私保护的注册和URL转发。我们在此注册服务商处捕获了几个级别降低活动。在这些活动中，攻击者在com-secure-login [。] info和com-finder-me [。] info下设置了数百个模仿流行目标域的子域。域名抢注子域的示例是www。icloud.com-安全登录[。] info。滥用程度第二高的注册服务商Openprovider提供便宜且易于批量注册，吸引了许多抢注注册。此外，我们观察到该注册商中的许多域都将其WHOIS记录进行了删节以保护隐私。我们的系统发现了许多使用.support TLD（顶级域）在TLD Registrar Solutions上注册的域名抢注域，包括icloud.com -iphone [。] support和apple.com .recover [。] support，这会使用户感到困惑。提供合法的Apple技术支持服务。

 

 

图6. 2019年12月最常使用的十大注册商。
前5名最受滥用的证书颁发机构

随着HTTPS的普及，网络犯罪分子越来越多地使用证书来使网站看起来合法。图7概述了蹲点位置首选的证书颁发机构（CA）。最受欢迎的CA是Cloudflare，因为它提供了一个捆绑包，其中包括免费的SSL加密。第二种最受欢迎​​的CA，cPanel Inc CA，由于其AutoSSL服务的便利性和便捷性而被域抢占者所青睐。通过cPanel的管理界面，他们的客户能够完成SSL加密的所有步骤，包括证书购买，自动安装和续订。Thawte CA不再是受信任的CA，浏览器会将其证书标记为可疑，但蹲域仍在使用它。

 

 

图7. 2019年12月使用率最高的5个证书颁发机构
恶意用法和威胁
在本节中，我们将详细讨论利用抢注域的不同类型的滥用行为。它包括恶意软件分发，网络钓鱼，C2通信，潜在有害程序（PUP），欺诈，载有广告的网站和会员营销。

网络钓鱼

网络钓鱼是利用域名抢注的最流行威胁之一。我们讨论的所有不同的域名抢注技术都可以用来吸引用户，使他们相信域名抢注是由合法品牌拥有的，并提高了网络钓鱼和欺诈活动的效率。

一个例子是combosquatting域，确保以下富国银行集团[。]组织，目标是富国银行的客户。该域托管富国银行官方网站的副本，如图8.a所示。但是，此站点只是原始站点的前端部分，它将所有单击重定向到同一登录页面（如图8.b所示），以窃取客户的敏感信息，包括电子邮件凭据和ATM PIN。

 

 

图8.a. Fake Wells Fargo网站：secure-wellsfargo [。] org

图8.b. Secure-wellsfargo [。] org的网络钓鱼登录页面
图9演示了如何设置另一个模仿域名（类似于Amazon的amazon -india [.online]）来窃取用户凭据，特别是针对印度的移动用户。作为通用策略，此站点上的所有链接都首先将用户重定向到同一产品页面（图9中的中间屏幕截图），然后再重定向到付款页面。在这种特殊情况下，犯罪者甚至没有遇到为桌面用户优化网络钓鱼页面的麻烦。

 

 

图9.假亚马逊网站：amazon-india [。] online
恶意软件分发

域名抢注也经常用于分发恶意软件。甲combosquatting域模仿三星（三星eblya iphone [。] COM）主机Azorult恶意软件5acd6d9ac235104f90f9a39c11807c37cdfb103d6c151cc1a2e4e38bf3dbe41f上的网址三星eblya iphone [。] COM / dolce.exe。Azorult恶意软件是一种凭证和支付卡信息窃取者，通常通过网络钓鱼电子邮件进行传播。自2016年以来，它一直是一个积极的威胁，并且是顶级恶意软件家族之一。一旦恶意软件执行，它将基于计算机的全局唯一标识符和用户名为受感染计算机生成唯一标识符。然后，恶意软件将使用此标识符与C2服务器联系，并将检索受感染机器的配置，包括正在运行的进程和服务。此外，Azorult恶意软件经常从其他受感染的服务器下载有效负载。新的有效负载可以收集并发送敏感数据，例如cookie，浏览器凭据和加密货币信息。

通过分析从三星eblya iphone [。] com下载的恶意软件样本，我们发现它试图向三星eblya iphone [。] com / index.php发送POST请求，这与该恶意软件家族的已知数据泄露行为一致。除了观察到的网络活动外，该恶意软件还显示了可疑行为，例如更改Internet Explorer的设置。

命令与控制（C2）

受感染机器上的恶意软件实例通常需要“回拨”到C2服务器，以执行进一步的命令，下载新的有效负载或执行数据泄漏。恶意软件通常依靠域名来定位C2服务器，这些域称为C2域。尽管将蹲域用于C2并不常见，但我们推测这样做的目的是逃避自动检测（例如域生成算法检测）和手动分析。

我们蹲在检测系统捕获蹲域模仿微软，微软-store-DRM服务器[。] COM于2020年1月30日，和微软-sback服务器[。] COM在2020年2月3日，从帕洛阿尔托网络野火恶意软件分析引擎，我们检索了相似的恶意软件样本，包括fa28b59eb0ccd21d3994b0778946679497399b72c2e256ebf2434553cb7bf373和e7fb436bf7d8784da092315bce1d3511a6055da41fe67362bad7a4c5d3f0294e，并将它们连接到了它们。这两个域名使用前面提到的DNSPod进行名称解析，这是臭名昭著的，因为它对滥用调查的响应速度很慢。首先，恶意软件将这些域解析为相同的IP地址217.182.227 [。] 117。然后，它通过SSL流量与相同的JA3（SSL指纹）进行通信：客户端上为6312930a139fa3ed22b87abb75c16afa，服务器端为4192c0a946c5bd9b544b4656d9f624a4。观察到相同的行为，我们得出结论，他们正在使用相同的SSL应用程序，并且属于同一广告系列。

与大多数C2域类似，这两个蹲域是短暂的。它们仅在注册后使用一到两天，然后被攻击者丢弃。跟踪217.182.227 [。] 117，我们可以找到此广告系列使用的其他C2域：1月27-28日的store-in-box [。] com，1月29日的stt-box [。] com 31日，即1月31日至2月31日，Microsoft -store-drm-server [。] com。2，以及2月3日的microsoft -sback-server [。] com。

潜在有害程序（PUP）

PUP可以是独立软件（例如间谍软件或广告软件），也可以是浏览器扩展。PUP通常会执行不必​​要的更改，例如更改浏览器的默认页面或劫持浏览器以插入广告。研究人员表明，一些PUP下载器也被重新用于恶意软件活动。托管PUP的网站通常会通过向用户显示警告消息（例如“您的计算机已被感染！”）来吓scar用户。或“您的许可证已过期！” 说服他们下载广告软件。

图10显示了模仿沃尔玛（walrmart 44 [。] com）分发PUP。根据使用的浏览器，它将用户重定向到提供不同类型PUP进行下载的登录页面。当我们在Safari中访问该域时，它告诉我们Flash播放器可能已过时，并为我们提供了从其站点下载最新版本的机会，如图10.a所示。使用Chrome时，我们会得到一个“单击继续并安装扩展程序”页面，如图10.b所示，该页面将用户重定向到Chrome商店的“ Security for Chrome”扩展程序。另外，该网站有时会将用户重定向到各种合法的电子商务网站，包括沃尔玛，亚马逊和速卖通。反复访问后，即使我们使用其他浏览器，它也会记住源IP地址并拒绝进一步访问（图10.c）。

 

 

图10.a. 从walrmart44 [。] com重定向到Safari中的PUP安装

图10.b. 从walrmart44 [。] com重定向到Chrome中的PUP安装

图10.c. walrmart44 [。] com在过于频繁地访问时会阻止爬网程序。
模仿Samsung（samsung pr0mo [。] online）的域名抢注域名看起来像是具有有效SSL证书的合法澳大利亚教育新闻网站。但是，访问此站点时，用户会遇到弹出窗口，警告他们安全漏洞（图11.a）。单击警告，用户将被重定向到伪造的病毒扫描页面，该页面可识别其操作系统以提高信誉，但始终显示相同的检测到病毒列表（图11.b）。最后，单击“继续”按钮会将用户带到系统修复工具的下载页面，这是合法的，但可能是有害的。

 

 

 

图11.a. samsungpr0mo [。]联机在右上角显示警告消息。

图11.b. 单击来自samsungpr0mo [。] online的警告消息后，将显示假病毒扫描页面。

技术支持骗局

技术支持诈骗是社会工程攻击。关联网站的目的是通过音频和视频警告来吓people人们，使他们认为自己的计算机已受到威胁。它提示人们拨打显示的虚假技术支持中心的电话号码。当人们拨打电话时，诈骗者将试图说服他们唯一的方法是通过支付欺诈性支持服务来节省机器。如果是共同抢注，域名通常包含诸如“安全”，“警报”和“警告”之类的关键字。模仿Microsoft的示例域（microsoft -alert [。] club图12.a中所示的）已于2020年6月11日注册。该网站以日语显示警告消息（在图12.b中转换为英语），呈现动态内容，例如正在运行的命令行窗口，并播放音频警报。

 

 

图12.a. 托管在Microsoft-Alert [.club]上的技术支持骗局页面

图12.b. 翻译成英文。

重新计费骗局

骗子诈骗者首先提供诸如减肥药之类的产品订阅，以换取少量初始付款。但是，如果用户在促销期后没有取消订阅，则信用卡的费用会高得多，通常为$ 50-100。有关此类骗局的其他信息，可以在Unit 42先前关于欺骗性会员营销的研究中找到。域名抢注域名netflix brazilcovid [。] com利用Netflix和COVID-19大流行。主页看起来像葡萄牙语Netflix网站（图13.a），目的是获取用户电子邮件地址。（在图13.b中显示为英语。）然后向潜在的受害者显示了欺骗性的奖励信息（图13.c）。最后，将用户重定向到调查，然后重定向到重新计费欺诈页面（图13.d）。

 

图13.a. netflixbrazilcovid [。] com上托管的虚假Netflix主页

图13.b. 翻译成英文。

图13.c. 欺骗性社会工程奖励电子邮件。

图13.d. 通过欺骗性奖励电子邮件分发的重新计费欺诈页面。
奖励骗局

另一个流行的骗局为用户提供奖励，例如免费产品或金钱。当我们最初捕获Facebook获奖者2020 [。] com时，它正在使用占位符图像和文本进行开发，如图14.a所示。但是，犯罪者最近用有意义的内容替换了占位符。从屏幕截图中，我们可以看出该页面模仿了与Facebook相关的免费彩票。要领取奖金，用户需要在表格中填写个人信息，例如出生日期，电话号码，职业和收入（图14.b）。

 

 

图14.a. 正在开发的奖励诈骗页面：facebookwinners2020 [。] com

图14.b. facebookwinners2020 [。] com上要求个人信息的申请表。

域名停放

通过用户流量获利的一种常见且简单的方法是通过将蹲域的IP地址或NS记录指向停车服务的服务器来使用停车服务。图15提供了一个模仿RBC皇家银行（rby royalbank [。] com）的寄存域的示例，它利用流行的停车服务ParkingCrew根据登陆网站并点击广告的用户数量来产生利润。在某些情况下，停车服务还会将用户重定向到欺诈和网络钓鱼页面。由于证书中的主机名不同于蹲域，因此浏览器会将其标记为“不安全”。托管页面通常向用户显示与托管域相关的广告列表。在我们的示例中，显示的广告与金融服务相关。

 

图15. rbyroyalbank [。] com的寄存页面
结论
总之，域名抢注技术利用了用户依赖域名来标识Internet上的品牌和服务这一事实。这些抢占域通常用于恶意活动，包括网络钓鱼，恶意软件和PUP分发，C2和各种欺诈。在蹲域中发现了很高的恶意和可疑使用率。因此，必须对这些域进行连续的监视和分析以保护用户。

Palo Alto Networks监视来自pDNS和Zone文件的新注册域和新观察到的主机名，以捕获新出现的抢注活动。我们的自动管道使用适当的类别（包括恶意软件，网络钓鱼，C2或灰色软件）将其检测到的域发布到URL过滤和DNS安全。

通过分析域名抢注生态系统，我们发现域名抢注者更喜欢某些类型的目标域，注册商，托管服务和证书颁发机构。在恶意域名抢注的情况下，以下属性是常见的：

以已知的金融，购物和银行领域为目标的域名。
使用经常滥用的注册商和托管服务的域。
没有完全验证的SSL证书的域。
因此，我们建议大家在遇到这些域时要格外小心。

使用URL过滤，DNS安全，WildFire和威胁防护的Palo Alto Networks客户受到保护，免受本博客中提到的与域名抢注相关的威胁。使用AutoFocus，我们的客户可以使用标签AzoRult进一步研究此博客中提到的恶意软件。