Cracking the Wall of Confinement: Understanding and Analyzing Malicious Domain Take-downs
2019 NDSS
理解和分析恶意域名撤销
domain take-down = domain seizure
YouTube:https://www.youtube.com/watch?v=bbift0eukDg
关键词: 域删除
摘要
撤销操作旨在中断包含恶意域的网络犯罪。在过去的十年里,已经报告了许多成功的撤销操作,包括Conficker蠕虫,以及最近针对VPNFilter的操作。虽然它在打击网络犯罪方面发挥重要的作用,但域名撤销程序仍然不透明。目前没有研究深度地理解了撤销操作如何工作以及是否确保其安全性和可靠性。
在本文中,我们报告了第一个关于域删除的系统研究。我们的研究是通过大量数据实现的,包括各种sinkhole feeds和黑名单,六年的被动DNS数据以及历史WHOIS信息。在这些数据集上,我们构建了一种独特的方法,广泛使用各种反向查找和其他数据分析技术来解决识别撤销域,sinkhole操作和撤销持续时间的挑战。在数据上应用该方法,我们发现了超过620K的撤销域,并对撤销过程进行了纵向分析,从而有助于更好地理解操作及其弱点。我们发现,在过去的十个月中,超过14%的域名已经被释放回域名市场,并且一些已发布的域名在被捕获和被占用之前已经被恶意行为者再次购回。此外,我们发现对应于撤销域的DNS记录的错误配置允许我们劫持被FBI占用的域。此外,我们发现过期的sinkholes导致大约30K的下行域转移,其流量现在由新的所有者控制。
知识点
机构
ICANN
Zeus domain removal list
360 Netlab 25
DGA de- tection tool:7:https://github.com/philarkwright/DGA-Detection.
- sinkhole list:Emerging Threat rules 、online lists[6,22]
- WHOIS:8
- 黑名单:HpHosts,PhishTank、Malware Domain Blocklist、Zeus Tracker、Malc0de、Conifcker、Randsomware Tracker
- WayBack Machine:捕获域名快照
- DNS被动Farsight 13
Domain take-down
由于违反了ICANN,注册管理机构和注册商定义的可接受使用政策(AUP)而导致其目前注册所有者的主要名称被删除(品牌错字,以及非法内容分发,如销售假冒产品的网站和托管恶意内容的网站);
涉及不同级别的一些方面和登记,有时在不同的国家,每个组织都有自己的规则和条例。 这些方包括:撤职请求者,撤职权限和撤职执行人。 它还涉及Internet名称系统的受影响元素,例如DNS,WHOIS和注册表域池。
- 撤销由请求着发起(该提交者主要报告域的违规行为并提交暂停其操作的请求)ICANN提供了提出撤销的具体步骤
- Take-down authorities:专门从事域名撤销的第三方服务(eg.品牌保护公司)一般和requster同一方
- Take-down executor:执行撤销过程,更改Internet name system等
某些情况下,撤销操作涉及将域的所有权转移给撤销请求者以便更好监督
domain toke-down 操作元素
通过对Internet名称系统进行更改来实现域名删除,从根本上撤消其当前所有者的访问权限。 这可以通过重定向域的流量和退出域来实现。
- domain sinkholing:重定向撤销域名流量,原因:提醒受害者、防止受感染的机器试图连接到新的C&C域或为研究目的收集流量。Sinkholes由第三方服务运营和管理,如Shadowserver(第三方服务) ,联邦调查局(authorities)或GoDaddy(executors)等下线执行机构。
- NS重定向
- NS不变,A直接重定向IP - domain delisting:removing
- 发现:reserved domains(保留域名,由于名称冲突或由于域名短被锁定)
案例:Microsoft
miscrosoft撤销了五个僵尸网络:Dorkbot、Ramnit、Shulock、Citadel、ZeroAccess
通过起诉未命名的被告John获得域名和IP扣押令
在审查所提供的违法行为的证据后,法院发布了数百个域名和IP地址的查封通知。这些通知详细说明了域名缉获方法的具体细节,即通过将其NS记录设置为指向微软的漏洞*.microsoftinternetsafety.net 来清除被占用的域名
WHOIS记录
EPP:可扩展供应协议(EPP)域状态代码&