IT安全運維 | 黑域名簡介

2020-04-20 20:49 作者：admin 瀏覽量：

黑域名是什么？
“黑域名”一般指的是如下兩種類型的域名：
1. 通過非正規渠道購買、來歷不明的域名；
2. 惡意軟件用于在僵尸網絡中實現管理及控制等功能而使用的域名；
這里我們所指的“黑域名”特指第二類，即惡意軟件（如挖礦病毒、僵尸網絡、勒索病毒等）通過“黑域名”實現被控制終端與控制服務器之間保持通信的域名。“黑域名”還可分為靜態和動態兩類。
靜態黑域名常用于挖礦、勒索病毒等網絡攻擊行為。
動態黑域名常用于僵尸網絡或C&C等網絡攻擊行為，常常使用DGA算法(Domain Generate Algorithm)生成。
對惡意程序而言，固定的惡意IP地址極易被安全設備檢測并阻斷，無法實現隱蔽與有效地控制。所以，僵尸網絡與C&C攻擊在設置惡意軟件時極力避免使用固定IP地址作為被控終端與服務器端的連接。在程序中常常使用DGA算法來生成隨機域名(黑域名)，以繞過常見的安全防護手段，實現對被控制端持續、有效的控制。通過DGA算法生成的黑域名在互聯網中常常無法訪問，因為惡意攻擊者在惡意軟件運行時，才對域名進行注冊，所以我們發現的黑域名常常無法直接進行訪問。 黑域名與普通域名的區別有哪些？
 現用現注冊
由于注冊域名需要費用，故惡意攻擊者常常在黑域名計劃上線前才注冊域名，在此時黑域名才可在互聯網環境中訪問。
 使用時間短
由于現有安全防護措施對網絡流量中的行為進行檢測，發現可疑請求后將上傳云端安全管理中心。所以在黑域名生效使用后，現有檢測、防護設備可快速識別并廣播防護規則實現有效阻斷，為了避免長時間動態域名的暴露，惡意攻擊使用一個特定黑域名的時間都不長，通過在1-7天左右。
同一款惡意軟件硬編碼多個黑域名
同一款惡意軟件在制作時可能會內置多個黑域名，以提高成功連接僵尸網絡的幾率。
 
黑域名的常見通信過程是怎樣的？
當下互聯網環境中，常常使用黑域名來實現隱藏僵尸網絡中主控端真實IP，因其使用域名的動態性，可繞過基于特征檢測的安全防護設備防護功能。
以動態黑域名為例，說明黑域名的使用場景及使用過程。  
1. 感染并生成隨機域名
惡意人員通過惡意郵件、網絡入侵等手段，向用戶計算機投放惡意病毒，釋放C&C被控端軟件。被控端軟件部署后，根據DGA算法生成偽隨機域名。
2. 注冊隨機域名，被控端反向連接主控端
惡意攻擊者可提前注冊部分黑域名，在惡意程序感染終端后使用DGA算法生成偽隨機域名池，使用池中域名逐一向DNS服務器請求對應的IP地址，直至成功獲取IP地址后即進行C&C會話連接，進行反向連接。
對于歷史上發現的黑域名示例：
· zugzwang.me
· tr069.online
· tr069.tech
· tr069.support
· zvdhcktzjoz.biz
· 1cgqypq2o9mf4d3pgt0100twa.net
· d7gdxaph63ks231iac1gfmf0i.biz
· pwmdyyj.info
· sxekhtn.net
· bbhxyjv.org
· ihbgynr.biz
· ywqksthri.net
· ……
黑域名如何防護？
一般網絡中出現黑域名后會向外網發送異常的黑域名連接請求，上端運營商、上級單位等機構會發現下級網絡存在的異常流量，通常的防護策略是做DNS流量清洗或DNS過濾保護
 
以上內容由北京艾銻無限科技發展有限公司整理