Cracking the Wall of Confinement: Understanding and Analyzing Malicious Domain Take-downs

最新推荐文章于 2024-01-10 15:01:33 发布
最新推荐文章于 2024-01-10 15:01:33 发布
阅读量687 收藏 1
点赞数 3
分类专栏: 论文阅读
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30050175/article/details/90442707
版权
本文首次深入研究了域名撤销的过程,揭示了撤销操作在打击网络犯罪中的作用及其潜在的安全隐患。通过对大量数据的分析,发现超过14%的撤销域名在10个月内被释放并可能被恶意再次使用。研究还指出,撤销操作中的DNS配置错误可能导致被FBI占用的域名被劫持。此外,过期的sinkholes可能导致流量转移,增加了域的安全风险。
摘要由CSDN通过智能技术生成

Cracking the Wall of Confinement: Understanding and Analyzing Malicious Domain Take-downs

2019 NDSS
理解和分析恶意域名撤销

domain take-down = domain seizure
YouTube:https://www.youtube.com/watch?v=bbift0eukDg

关键词: 域删除

摘要

撤销操作旨在中断包含恶意域的网络犯罪。在过去的十年里,已经报告了许多成功的撤销操作,包括Conficker蠕虫,以及最近针对VPNFilter的操作。虽然它在打击网络犯罪方面发挥重要的作用,但域名撤销程序仍然不透明。目前没有研究深度地理解了撤销操作如何工作以及是否确保其安全性和可靠性。

在本文中,我们报告了第一个关于域删除的系统研究。我们的研究是通过大量数据实现的,包括各种sinkhole feeds和黑名单,六年的被动DNS数据以及历史WHOIS信息。在这些数据集上,我们构建了一种独特的方法,广泛使用各种反向查找和其他数据分析技术来解决识别撤销域,sinkhole操作和撤销持续时间的挑战。在数据上应用该方法,我们发现了超过620K的撤销域,并对撤销过程进行了纵向分析,从而有助于更好地理解操作及其弱点。我们发现,在过去的十个月中,超过14%的域名已经被释放回域名市场,并且一些已发布的域名在被捕获和被占用之前已经被恶意行为者再次购回。此外,我们发现对应于撤销域的DNS记录的错误配置允许我们劫持被FBI占用的域。此外,我们发现过期的sinkholes导致大约30K的下行域转移,其流量现在由新的所有者控制。

知识点

机构

ICANN
Zeus domain removal list

360 Netlab 25

DGA de- tection tool:7:https://github.com/philarkwright/DGA-Detection.

  • sinkhole list:Emerging Threat rules 、online lists[6,22]
  • WHOIS:8
  • 黑名单:HpHosts,PhishTank、Malware Domain Blocklist、Zeus Tracker、Malc0de、Conifcker、Randsomware Tracker
  • WayBack Machine:捕获域名快照
  • DNS被动Farsight 13

Domain take-down

由于违反了ICANN,注册管理机构和注册商定义的可接受使用政策(AUP)而导致其目前注册所有者的主要名称被删除(品牌错字,以及非法内容分发,如销售假冒产品的网站和托管恶意内容的网站);

涉及不同级别的一些方面和登记,有时在不同的国家,每个组织都有自己的规则和条例。 这些方包括:撤职请求者,撤职权限和撤职执行人。 它还涉及Internet名称系统的受影响元素,例如DNS,WHOIS和注册表域池。

  • 撤销由请求着发起(该提交者主要报告域的违规行为并提交暂停其操作的请求)ICANN提供了提出撤销的具体步骤
  • Take-down authorities:专门从事域名撤销的第三方服务(eg.品牌保护公司)一般和requster同一方
  • Take-down executor:执行撤销过程,更改Internet name system等

某些情况下,撤销操作涉及将域的所有权转移给撤销请求者以便更好监督

domain toke-down 操作元素

通过对Internet名称系统进行更改来实现域名删除,从根本上撤消其当前所有者的访问权限。 这可以通过重定向域的流量和退出域来实现。

  • domain sinkholing:重定向撤销域名流量,原因:提醒受害者、防止受感染的机器试图连接到新的C&C域或为研究目的收集流量。Sinkholes由第三方服务运营和管理,如Shadowserver(第三方服务) ,联邦调查局(authorities)或GoDaddy(executors)等下线执行机构。
    - NS重定向
    - NS不变,A直接重定向IP
  • domain delisting:removing
  • 发现:reserved domains(保留域名,由于名称冲突或由于域名短被锁定)

案例:Microsoft
miscrosoft撤销了五个僵尸网络:Dorkbot、Ramnit、Shulock、Citadel、ZeroAccess
通过起诉未命名的被告John获得域名和IP扣押令
在审查所提供的违法行为的证据后,法院发布了数百个域名和IP地址的查封通知。这些通知详细说明了域名缉获方法的具体细节,即通过将其NS记录设置为指向微软的漏洞*.microsoftinternetsafety.net 来清除被占用的域名

WHOIS记录

EPP:可扩展供应协议(EPP)域状态代码&

最低0.47元/天 解锁文章
我的喵喵找不到了
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【论文分享】图嵌入恶意域名检测算法:Malicious Domain Detection via Domain Relationship and Graph Models
vector的博客
04-12 608
本文提出了一种基于域名关系特征、PDNS特征和域名字符特征的恶意域检测方法。在被动DNS数据中建立域名关联图,并通过改进的deepwalk图嵌入算法提取域关系特征。此外,还从PDNS中挖掘了更多以前工作中没有提到的特性。这些PDNS特征可以提高分类器的有效性。最后,结合域字符特征、PDNS特征和关系特征作为特征集采用随机树进行分类。
java英语笔试试题-Cracking-The-Coding-Interview:破解编码面试的解决方案-第6版
06-13
java英语笔技巧题Cracking-The-Coding-面试 破解编码面试的 Java 解决方案 - 第 6 版 Ch 01 - 数组和字符串 第 02 章 - 链表 第 03 章 - 堆栈和队列 01 - 三合一 第 4 章 - 树和图 01 - 节点间路由 07 - 建造顺序 09...
malicious-domain-profiling
cnbird's blog
08-30 741
https://code.google.com/p/malicious-domain-profiling/ https://www.blackhat.com/docs/us-14/materials/us-14-Li-APT-Attribution-And-DNS-Profiling-WP.pdf
A Survey on Malicious Domains Detection through DNS Data Analysis
m0_38110128的博客
06-05 405
3.1 DNS数据从哪收集: 由于DNS基础结构的分布式特性,可以考虑使用多个位置来收集有关DNS查询和答复的信息。在所有涉及的服务器中,解析器(如第2节中的定义)是唯一的,因为它是唯一可以访问直接来自客户端机器的查询的位置。因此,在以下内容中,我们区分了数据来源的两种具体情况。我们将第一个程序称为“Host-Resolver”。它是指通过观察终端主机与其解析器之间的通信而获得的DNS数据。第二种数据称为“DNS-DNS”,是指通过观察两个DNS服务器之间的通信(其中一个可能是解析器)可以获得的数据。 如何
【定位恶意域名请求】
最新发布
weixin_46356409的博客
01-10 1697
在DNS服务器没有开启日志存储的情况下,要确定哪台机器请求恶意域名会比较困难。但是,你可以尝试以下几种方法:网络嗅探工具:使用网络嗅探工具(如Wireshark)来捕获网络流量。通过分析捕获的数据包,可以找到发出恶意域名请求的IP地址。请确保在合适的网络位置部署嗅探工具,以便捕获到所有DNS请求。防火墙日志:检查防火墙日志,看是否有记录到DNS请求(通常是目标端口为53的UDP或TCP请求)。通过分析防火墙日志,可以找到发出恶意域名请求的IP地址。
Cracking-the-coding-interview-Java语言版本
12-21
《破解编程面试——Java语言版》是一本深受程序员和求职者欢迎的书籍,它专注于算法和数据结构在面试中的应用。这本书提供了大量的实践题目和Java代码实现,旨在帮助读者提升解决编程挑战的能力,特别是对于准备技术...
Cracking-the-Code:《破解密码》一书中的习题集
05-24
在提供的压缩包"Cracking-the-Code-master"中,我们可以预期找到作者为《破解密码》习题集编写的Java实现。Java是一种广泛应用于网络服务、桌面应用和移动开发的面向对象编程语言,其稳定性和跨平台特性使其成为处理...
leetcode分类-Cracking-Data-Science-Interview:破解-数据-科学-访谈
06-29
leetcode 分类破解数据科学面试 欢迎来到破解数据科学访谈Github 页面。 在这里您可以找到与数据科学相关的链接、教程、博客文章、代码片段、面试准备材料、案例研究等! 玩得开心! 数据科学面试准备材料 ...
Cracking-The-Coding-Interview:Cracking-The-Coding-Interview《面试金典》自敲代码
06-18
Cracking-The-Coding-面试 ##细绳: 矩阵旋转 matrix_clear_zero ###链接列表: 从链接列表中删除重复项 return_nth_node_from_end_of_list del_mid_node_from_list 分区列表 add_two_num ...
domain_seizure:准备使用适合移动设备的域名扣押页面
05-03
准备使用适合移动设备的域名扣押页面 适应21世纪的域名扣押页面集合。 FBI域名扣押页面 从分叉。 特征 自动化:域名是自动填写的,因此FBI代理无需为每个占用的域“购买新的通知JPEG” 移动优先:自动调整屏幕尺寸 Punycode:完全支持国际域名 指示 抢占域 将index.html,seized.png和puny-min.js复制到webroot BKA / Generalstaatsanwaltschaft法兰克福缉获主页 由分叉。 特征 移动优先:自动调整屏幕尺寸 辅助功能:与屏幕阅读器和盲文显示器完全兼容。 指示 抓住隐藏的服务 将index.html和banner.jpg复制到webroot LKA莱茵兰-普法尔茨/总检察长办公室科布伦茨缉获页 从分叉。 特征 移动优先:自动调整屏幕尺寸 辅助功能:与屏幕阅读器和盲文显示器完全兼容。 指示 抓住隐藏的服务 将index.h
A Feature Ensemble-based Approach to Malicious Domain Name Identification from Valid DNS Responses笔记
qq_57707293的博客
11-25 602
基于有效 DNS 相应特征集成的恶意域名识别方法
永恒之蓝源码进一步剖析
热门推荐
HaleyLiu123的博客
05-15 1万+
一.蠕虫攻击谁干的        最新消息,这次攻击始作俑者是美国一位高中生,在缅因州波特兰高中,FBI已经在路上,如果他没有价值的话,就会上新闻了,这货真强,犯了大忌,触犯了黑客联盟的宗旨:“不对学生下手,也不针对任何盈利组织”惹出了全球170多万黑客在线找,首当其冲的是俄罗斯黑客。现在从FBI,到国家安全局,到全球黑客都在通缉。 二.剖析永恒之蓝工作原理 勒索病毒
EPP-国际化域名映射扩展
u013617791的专栏
02-27 601
文章目录1. 引言2. 本文档中使用的约定3. EPP命令映射3.1. EPP查询命令3.1.1 EPP \命令3.2. EPP 转移命令3.2.1. EPP\命令3.3. 形式语法 本文档描述一个可扩展配置协议(EPP)扩展映射,用于存储在共享中央存储库中的国际化域名(IDN)的配置。此映射扩展了EPP域名映射,以提供在ASCII之外的字符集中实现域名注册所需的附加功能。 1. 引言 EPP协议...
EPP-基于TCP传输(RFC5734翻译)
u013617791的专栏
11-11 917
本文档描述如何将可扩展配置协议(EPP)会话映射到单个传输控制协议(TCP)连接。这种映射需要使用传输层安全性(TLS)协议来保护EPP客户机和EPP服务器之间交换的信息。本文件废止RFC 4934。 2. 会话管理 创建TCP连接 客户端必须发出一个活动的OPEN呼叫,服务器必须在IANA分配的标准TCP端口(700)上侦听TCP连接请求。 在TCP会话建立后,EPP服务器必须向客户端返回EP.........
IOT语义互操作性之标准与开源
我相信......
02-20 3367
这个系列文章描述了一个单一的语义数据模型来支持物联网和建筑、企业和消费者的数据转换。 这种模型必须简单可扩展, 以便能够在各行业领域之间实现插件化和互操作性。 对于一个目前从事智能硬件的老码农,觉得这...
Maltrail恶意流量检测系统
迷思
03-16 9203
介绍Github 上的 Maltrail系统
Cracking the Oyster(Column 1 of Programming Pearls)
weixin_30856965的博客
08-01 90
C 1intintcomp(int*x,int*y) 2{ 3return*x-*y; 4} 5 6inta[1000000]; 7intmain(void) 8{ 9inti,n=0; 10while(scanf("%d",&a[n])!=EOF) 11n++; 12...
Cracking Codes with Python—翻译(第十章:加密和解密文件)
qq_42893430的博客
09-11 230
今天下小雨,有丶凉快。
cracking the pm interview:how to land a product manager job in technology cr
09-11
Cracking the PM Interview: How to Land a Product Manager Job in Technology》是一本出色的产品经理求职指南。它由Gayle Laakmann McDowell和Jackie Bavaro联合撰写,对于想在科技行业中担任产品经理职位的人来说是一本非常有用的资源。 该书涵盖了产品经理职位的各个方面,帮助读者了解这个职位的基本知识和技能要求。它提供了关于面试准备的建议,包括如何构建个人简历,编写求职信和答题技巧。此外,书中还介绍了常见的面试题目和解答方法,让读者可以更好地应对具体的面试环节。 这本书的另一个亮点是它提供了大量的实用技巧和建议,帮助读者掌握产品管理的关键要素。它涵盖了市场分析、需求收集、项目管理和团队合作等重要主题,并提供了许多行业成功人士的经验分享。通过学习这些内容,读者可以更好地了解产品经理的职责和职业发展的道路。 此外,书中还包括了一些有关技术和数据分析的内容,因为在当今科技行业中,产品经理必须具备与工程师和设计师有效沟通的能力。通过掌握这些技术和数据分析的概念,读者可以提升自己的竞争力,并在面试中表现出色。 总之,《Cracking the PM Interview: How to Land a Product Manager Job in Technology》是一本详尽而实用的产品经理求职指南,它提供了全面的知识和技能要求,帮助读者成功获得科技行业产品经理职位。无论是初入行的新手还是有经验的专业人士,都能从中获益良多。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值