HUMAN 旗下的 Satori 威胁情报与研究团队近日与 Google、趋势科技、Shadowserver 等合作伙伴合作,发现并部分瓦解了 BADBOX 2.0。这一威胁被称为迄今发现的最大规模的联网电视(CTV)僵尸网络。
BADBOX 2.0 感染的设备被纳入一个庞大的僵尸网络,涉及程序化广告和点击欺诈、住宅代理服务、账户接管(ATO)、分布式拒绝服务(DDoS)攻击、虚假账号创建、恶意软件分发及一次性密码(OTP)窃取等活动。根据报告发布时的数据,已有超过 100 万台消费级设备受到影响。
研究人员识别出 109 个命令与控制(C&C)域名作为威胁指标(IoCs),WhoisXML API 在此基础上进行了分析和扩展,通过 DNS 调查进一步发现:
-
与 915 个域名相关联的电子邮件地址,其中 8 个域名被判定为恶意
-
50 个 IP 地址,其中 34 个已被用于攻击
-
211 个与 IP 地址关联的域名
-
2,078 个基于字符串的相关域名,其中 2 个已与威胁相关联
分析样本供免费下载: Unlocking the DNS Strongbox of BADBOX 2.0 | WhoisXML API
深度分析 BADBOX 2.0 的 IoC
我们首先使用 Bulk WHOIS API 对这 109 个 IoC 域名进行了 WHOIS 查询,发现所有域名都有当前 WHOIS 信息。具体如下:
-
109 个域名注册时间跨度从 2003 年至 2025 年:
-
2023 年注册:30 个
-
2024 年注册:25 个
-
2019 年注册:14 个
-
2025 年注册:9 个
-
2022 年注册:8 个
-
2021 年注册:7 个
-
2017 年注册:6 个
-
2020 年注册:3 个
-
其他年份(2003、2008、2011、2014、2016 各 1 个)
-
-
11 家注册商负责这些域名的注册:
-
GoDaddy(70 个)
-
阿里云(15 个)
-
Stichting Registrar of Last Resort Foundation(7 个)
-
NameSilo(5 个)
-
Dynadot(4 个)
-
Cloudflare 和 Name.com(各 2 个)
-
1API、DNSPod、Gname、Internet Domain Service(各 1 个)
-
-
仅 85 个域名显示了注册人所在国家:
-
美国:68 个
-
中国:16 个
-
德国:1 个
-
另外 24 个没有显示国家信息
-
在 DNS Chronicle API 的查询中,109 个域名中有 105 个有历史域名到 IP 的解析记录。其中 duoduodev[.]com、flyermobi[.]com、motiyu[.]net 和 qazwsxedc[.]xyz 是最早解析的,时间为 2019 年 10 月 4 日。
深入 DNS 密码箱:发现更多线索
我们进一步使用 用于历史 WHOIS 数据访问和轻松集成的 API | WhoisXML API 查询这 109 个 IoC 域名的历史记录,发现其中 61 个域名在历史 WHOIS 中关联了 101 个电子邮件地址(去重后),其中 45 个是公开的邮箱。
通过 使用注册人详细信息反向 WHOIS API 调用域名查询 | WhoisXML API,我们查询了这 45 个邮箱的其他关联域名,发现 44 个邮箱曾出现在多个域名的历史记录中。其中有 19 个邮箱可能属于“域名投资人”,由于关联域名数量庞大,因此被排除在进一步分析之外。剩下的 25 个邮箱目前关联了 915 个域名(去除 IoC 和重复项后)。
我们使用 威胁情报API | WhoisXML APIEasily identify malicious resources and retrieve their threat information with Threat Intelligence API.
https://zh.threat-intelligence.whoisxmlapi.com/api 对这 915 个域名进行了风险查询,发现其中 8 个已经与已知威胁相关联。
声明:
我们在威胁识别上持谨慎立场,致力于提供有助于防范潜在风险的信息。因此,部分被标注为“威胁”或“恶意”的实体,在进一步调查或背景变更后,可能被判定为无害。我们强烈建议进行补充调查以验证所提供信息。
扫一扫
826
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
