IT安全運(yùn)維 | 黑域名簡(jiǎn)介

2020-04-20 20:49 作者：admin 瀏覽量：

黑域名是什么？
“黑域名”一般指的是如下兩種類型的域名：
1. 通過非正規(guī)渠道購買、來歷不明的域名；
2. 惡意軟件用于在僵尸網(wǎng)絡(luò)中實(shí)現(xiàn)管理及控制等功能而使用的域名；
這里我們所指的“黑域名”特指第二類，即惡意軟件（如挖礦病毒、僵尸網(wǎng)絡(luò)、勒索病毒等）通過“黑域名”實(shí)現(xiàn)被控制終端與控制服務(wù)器之間保持通信的域名。“黑域名”還可分為靜態(tài)和動(dòng)態(tài)兩類。
靜態(tài)黑域名常用于挖礦、勒索病毒等網(wǎng)絡(luò)攻擊行為。
動(dòng)態(tài)黑域名常用于僵尸網(wǎng)絡(luò)或C&C等網(wǎng)絡(luò)攻擊行為，常常使用DGA算法(Domain Generate Algorithm)生成。
對(duì)惡意程序而言，固定的惡意IP地址極易被安全設(shè)備檢測(cè)并阻斷，無法實(shí)現(xiàn)隱蔽與有效地控制。所以，僵尸網(wǎng)絡(luò)與C&C攻擊在設(shè)置惡意軟件時(shí)極力避免使用固定IP地址作為被控終端與服務(wù)器端的連接。在程序中常常使用DGA算法來生成隨機(jī)域名(黑域名)，以繞過常見的安全防護(hù)手段，實(shí)現(xiàn)對(duì)被控制端持續(xù)、有效的控制。通過DGA算法生成的黑域名在互聯(lián)網(wǎng)中常常無法訪問，因?yàn)閻阂夤粽咴趷阂廛浖\(yùn)行時(shí)，才對(duì)域名進(jìn)行注冊(cè)，所以我們發(fā)現(xiàn)的黑域名常常無法直接進(jìn)行訪問。 黑域名與普通域名的區(qū)別有哪些？
 現(xiàn)用現(xiàn)注冊(cè)
由于注冊(cè)域名需要費(fèi)用，故惡意攻擊者常常在黑域名計(jì)劃上線前才注冊(cè)域名，在此時(shí)黑域名才可在互聯(lián)網(wǎng)環(huán)境中訪問。
 使用時(shí)間短
由于現(xiàn)有安全防護(hù)措施對(duì)網(wǎng)絡(luò)流量中的行為進(jìn)行檢測(cè)，發(fā)現(xiàn)可疑請(qǐng)求后將上傳云端安全管理中心。所以在黑域名生效使用后，現(xiàn)有檢測(cè)、防護(hù)設(shè)備可快速識(shí)別并廣播防護(hù)規(guī)則實(shí)現(xiàn)有效阻斷，為了避免長時(shí)間動(dòng)態(tài)域名的暴露，惡意攻擊使用一個(gè)特定黑域名的時(shí)間都不長，通過在1-7天左右。
同一款惡意軟件硬編碼多個(gè)黑域名
同一款惡意軟件在制作時(shí)可能會(huì)內(nèi)置多個(gè)黑域名，以提高成功連接僵尸網(wǎng)絡(luò)的幾率。
 
黑域名的常見通信過程是怎樣的？
當(dāng)下互聯(lián)網(wǎng)環(huán)境中，常常使用黑域名來實(shí)現(xiàn)隱藏僵尸網(wǎng)絡(luò)中主控端真實(shí)IP，因其使用域名的動(dòng)態(tài)性，可繞過基于特征檢測(cè)的安全防護(hù)設(shè)備防護(hù)功能。
以動(dòng)態(tài)黑域名為例，說明黑域名的使用場(chǎng)景及使用過程。  
1. 感染并生成隨機(jī)域名
惡意人員通過惡意郵件、網(wǎng)絡(luò)入侵等手段，向用戶計(jì)算機(jī)投放惡意病毒，釋放C&C被控端軟件。被控端軟件部署后，根據(jù)DGA算法生成偽隨機(jī)域名。
2. 注冊(cè)隨機(jī)域名，被控端反向連接主控端
惡意攻擊者可提前注冊(cè)部分黑域名，在惡意程序感染終端后使用DGA算法生成偽隨機(jī)域名池，使用池中域名逐一向DNS服務(wù)器請(qǐng)求對(duì)應(yīng)的IP地址，直至成功獲取IP地址后即進(jìn)行C&C會(huì)話連接，進(jìn)行反向連接。
對(duì)于歷史上發(fā)現(xiàn)的黑域名示例：
· zugzwang.me
· tr069.online
· tr069.tech
· tr069.support
· zvdhcktzjoz.biz
· 1cgqypq2o9mf4d3pgt0100twa.net
· d7gdxaph63ks231iac1gfmf0i.biz
· pwmdyyj.info
· sxekhtn.net
· bbhxyjv.org
· ihbgynr.biz
· ywqksthri.net
· ……
黑域名如何防護(hù)？
一般網(wǎng)絡(luò)中出現(xiàn)黑域名后會(huì)向外網(wǎng)發(fā)送異常的黑域名連接請(qǐng)求，上端運(yùn)營商、上級(jí)單位等機(jī)構(gòu)會(huì)發(fā)現(xiàn)下級(jí)網(wǎng)絡(luò)存在的異常流量，通常的防護(hù)策略是做DNS流量清洗或DNS過濾保護(hù)
 
以上內(nèi)容由北京艾銻無限科技發(fā)展有限公司整理