工作来源
ACSAC 2022
工作背景
之前利用域名分析恶意软件生态的努力,都存在一定缺陷。例如,基于沙盒研究无法跟踪在野情况;基于 Passive DNS 受限于数据视野;基于主机研究依赖于预先安装的软件;基于水坑研究错过了最开始的感染阶段。
RFC 7811 引入了 EDNS 客户端子网(ECS)的概念,支持递归解析服务器不在客户端附近时通过地理位置优化 DNS 响应。ECS 在从递归解析服务器发送到权威解析服务器的请求中会包含客户端 IP 地址的一部分,权威解析服务器能够根据客户端请求所属的地理位置进行回复。
工作准备
收集 2017 年 2 月 9 日到 2021 年 6 月 30 日间,权威解析服务器的 DNS 数据。数据包括:递归解析服务器 IP 地址、解析的域名、权威响应以及 ECS 查询客户端 IP 子网。
收集 2018 年 1 月到 2021 年 4 月间,在沙盒中执行可疑的 Windows 程序,所对应的 DNS 流量。并且获取样本相关的 VirusTotal 信息(仅取 17 个引擎),使用 AVClass2 提取最相关标签。
利用 CAIDA 提供的 Prefix-to-AS 数据集与 RIR 提供的 ASN-to-自治系统,为 IP 提供所属信息。另外,开源解决方案中 ASdb 提供的粒度太粗,最后还是选用商业数据集为 IP 标记行业。联合国统计司提供了国际标准行业分类(ISIC)代码与业务类型的映射关系,本文使用的也是如此。
数据详情
发现权威解析数据中出现的恶意域名,过滤掉 Tranco 中排名靠前的域名,过滤得到 12212 个有效二级域名(e2LD)。这些域名与 174112 个恶意软件有关,98.96% 的样本在 VirusTotal 上已有,已有样本的 99.97% 都被标记为恶意。
利用 VirusTotal 扩展了 70898 个样本,共计 245010 个样本。经过 AVClass2 的处理,有 81750 个样本被分配了 SINGLETON 标签丢弃,剩下的 161322 个(66.37%)样本归属于 202 个不同的恶意软件家族。按照域名数量统计 TOP 15 的恶意软件家族如下所示:
其累计分布如下所示,大多数域名只与少数恶意样本相关(57% 的域名与少于三个样本相关)。
这些域名中,至少 76.7% 的恶意域名至少有一个历史 URL 被标记为恶意。恶意域名的日请求量如下所示:
每日请求中 17.9% 都是 ECS 的。
工作评估
C&C 服务器
分析了 6400 个域名,指向 151 个国家/地区的 399830 个 IP 地址。此前,Tajalizadehkhoob 和 Mezzour 都发现合法平台上部署 C&C 服务器的分布与合法平台的规模强相关,与其安全管理是否严格弱相关。
25.7% 的 IP 地址与单个恶意软件家族有关,6.6% 的 IP 地址与超过 10 个恶意软件家族有关。例如 AS29075 的 IP 地址与 94 个恶意软件家族的 715 个恶意域名有关,而该 IP 地址是一个被广泛使用的代理。
域名与样本、域名与 IP、域名与国家之间数量的关系如下所示:
客户端
恶意软件的感染是全球范围的:
从统计来看也是这样:
71.3% 的恶意软件家族都存在来自超过一百个国家与地区的查询,而且国家内的计算资源越密集,感染也就越多。
行业
在 397 亿次恶意域名请求中,大约 70.7% 能够被打上行业标签。
其中 15 个行业都会受到超过一半的恶意软件家族的影响。72.7% 的恶意软件家族也会影响超过 10 个行业。
每年抽取七天的采样,如上所示。教育行业的安全性也令人担忧。
生命周期
只保留在观测期内只注册过一次的恶意域名,为 2308 个域名占 18.9%。
注册到检测的窗口相对较短,75% 的域名大约为 19 天甚至更少。检测到删除相对更长,大约 23 天。
大型云服务提供商(亚马逊)、大型域名解析服务提供商(谷歌)与大型电信公司(Vimpelcom 与 Level3),在初期数量较多。检测到后,扫描器(GEORGIA-TECH)、安全公司(MFENET – McAfee 和 PAN0001 – PALOALTO NETWORKS)就冲了上来。在删除后电信公司的数量较大,可能是迟滞感染等原因。
工作思考
观测位置不同会带来数据视角的差异,也会对判断带来影响。站在权威解析服务器的视角下查看恶意域名,在生命周期中各个阶段的情况也会更加清晰。
来源:威胁棱镜