追踪DNS中的美国总统大选相关域名威胁

随着美国总统大选的临近，相关话题已经引发了广泛关注，而WhoisXML API（https://zh.main.whoisxmlapi.com/）研究团队可能揭示了数千个潜在的混乱来源——与大选相关的恶意抢注域名。这些域名对某些人来说，可能是一个有利可图的收入来源。例如，HarrisWalz[.]com域名最近以15,000美元售出，利润率高达99.94%。

恶意抢注域名还可能被用于更具恶意的目的。例如，出售HarrisWalz[.]com的同一抢注者在2016年也将ClintonKaine[.]com出售给了一位匿名买家，最终该域名在大选期间被用于发布反对希拉里的新闻。

最近，微软警告称，国家级攻击者利用冒充等战术、技术和程序（TTPs）来制造分裂并破坏选举。而恶意抢注的域名可能是他们的工具之一。

我们的研究主要聚焦于包含总统候选人名字及其他选举相关字符串的域名和子域名，发现了以下结果：

• 2,320个无法归属的大选相关域名

• 197个大选相关子域名（对应121个无法归属的根域名）

• 541个与电子邮件相关的域名

• 1,165个IP地址，其中775个为恶意地址

我们从分析中获得的其他样本文件可以在我们的网站上下载。

Hunting for U.S. Presidential Election-Related Domain Threats in the DNS | WhoisXML API

揭示与选举相关的网络资源

为了开始我们的调查，我们使用了域名和子域名发现工具（https://drs.whoisxmlapi.com/domains-subdomains-discovery?mc=circleid），搜索与选举相关的网络属性。具体来说，我们查找了从2024年1月1日到8月15日新增的包含以下字符串的域名和子域名：

• Kamala + Harris

• Tim + Walz

• Harris + Walz

• Vote + Harris

• Donald + Trump

• JD + Vance

• Trump + Vance

• vote + Trump

• 以 US + election 开头

我们共发现了3,314个域名和197个子域名（去重后），其分布情况如下面的图表所示。

选举相关域名的归属分析

接下来，我们尝试确定研究中的网络属性是否由候选人或美国政府控制。为此，我们首先获取了相关官方域名的WHOIS记录详细信息，具体包括：

• donaldjtrump[.]com

• kamalaharris[.]com

• walzflanagan[.]org

• usa[.]gov

我们未能找到专门用于副总统候选人JD Vance的官方域名。我们还包括了usa[.]gov，因为它托管了美国选举的官方网站。

对这四个域名进行的WHOIS批量查询显示（https://whois.whoisxmlapi.com/bulk-whois-lookup?mc=circleid），它们的WHOIS信息均受到隐私保护。这意味着我们无法将任何选举相关域名公开归属到管理官方域名的实体的电子邮件地址或名称。

然而，WHOIS信息中包含了其他重要数据点，如名称服务器和注册人电话号码。

对3,511个选举相关域名和子域名进行的WHOIS批量查询显示，其中70个域名没有当前的WHOIS详细信息。

在检查了四个官方域名的WHOIS信息与3,441个拥有当前WHOIS数据的选举相关域名之间的重叠后，我们能够排除1,000个唯一域名的进一步分析。这些域名共享了以下信息：

• kamalaharris[.]com的名称服务器（即7个域名）

• donaldjtrump[.]com的注册人电话号码（即986个域名）

• kamalaharris[.]com的注册人电话号码（即7个域名）

我们剩下了2,441个域名，其中包括2,320个选举相关域名和121个选举相关子域名的根域名，这些域名无法明确归属到管理官方域名的相同实体。这些域名可能属于恶意抢注的范畴，因此我们进行了进一步的分析。

揭示选举相关域名背后的真实身份

对2,441个潜在恶意抢注域名的WHOIS信息分析显示：

• GoDaddy.com LLC是主要的注册商，管理了650个域名。紧随其后的是Namecheap, Inc.（509个域名）、Squarespace Domains LLC（106个域名）、Tucows, Inc.（94个域名）、Hostinger Operations UAB（90个域名）、Porkbun LLC（76个域名）、NameSilo LLC（73个域名）、Network Solutions LLC（56个域名）、IONOS SE（43个域名）和SAV.COM LLC（36个域名）。

• 591个域名分布在100多个注册商之间，而117个域名没有当前的注册商数据。

绝大多数域名（共1,568个）在美国注册。其他前十名的注册国家包括冰岛（510个域名）、加拿大（93个域名）、英国（20个域名）、中国（8个域名）、越南（8个域名）、澳大利亚（6个域名）、荷兰（6个域名）、德国（5个域名）和匈牙利（4个域名）。还有56个域名分布在25个其他国家，而157个域名没有当前的注册国家信息。

在接下来的调查步骤中，我们深入探讨了选举相关域名的所有权，揭示了进一步的关联，发现了更多可能与恶意抢注相关的网络属性，并探讨了这些选举相关域名可能存在的恶意联系。

您可以在我们的网站上下载完整的调查结果和附加样本，或联系我们讨论您的威胁检测与响应需求或其他网络安全应用场景。

网站：Hunting for U.S. Presidential Election-Related Domain Threats in the DNS | WhoisXML API

微信：whoisxmlapi

免责声明：我们对威胁检测采取谨慎态度，旨在提供相关信息以帮助防范潜在风险。因此，某些被标识为“威胁”或“恶意”的实体在进一步调查或背景变化后，可能会被认为是无害的。我们强烈建议进行额外调查以核实此处提供的信息。

此文章由WhoisXML API提供

Whois API, Inc.（WhoisXML API）是一家大数据和API公司，提供域名研究与监控、Whois、DNS、IP和威胁情报API、数据及工具，服务于多个行业。