zh

ICANN 的域名安全威胁信息搜集和报告 (DNSTICR) 项目的 18 个月工作总结

2021 年 09 月 2 日

Siôn LloydSiôn Lloyd, Lead Security, Stability, and Resiliency Specialist

一年半以前,全世界开始意识到 2019 冠状病毒病 (COVID-19) 是一场全球性的疫情。遗憾的是,不良行为者也开始意识到这一点,他们利用具有新闻价值的事件为其恶意网站带来流量。作为回应,ICANN 的首席技术官办公室 (Office of the Chief Technology Officer, OCTO) 启动了域名安全威胁信息搜集和报告 (Domain Name Security Threat Information Collection and Reporting, DNSTICR) 项目,用以报告与 COVID-19 有关的域名系统 (Domain Name System, DNS) 安全威胁。

在通用字符串中识别网络钓鱼或恶意软件具有一定挑战性,特别是那些可能含有本地语言或语境的字符串。OCTO 在 DNSTICR 项目中的采用的方法需要在新的域名注册中搜索与 COVID-19 有关的词汇,量化那些明显的恶意域名,并向支持该域名的注册服务机构报告。这项工作的详情请参见此处

2020 年 4 月 4 日,我们见证了与 COVID-19 相关的新域名的注册高峰,一天之内注册了 5,543 个。该数据在 5 月和 6 月急剧下滑,自那以后,曲线基本趋于平缓。

在 2020 年 5 月至 2021 年 8 月看到的 210,939 个与疫情相关的域名中,大多数是良性或没有声望的。总共有 12,860 个(占 6.1%)域名是来自可信提供商的报告对象。如果我们进一步将这组域名限制在那些具有高置信度或拥有多个证据的域名之中,我们看到有 3,791 个域名(占与疫情相关的注册域名的 1.8%)被标记了出来。

这显示了有多少域名可能被标记为“可疑”,以及有多少域名存有任何滥用证据。

趋势

在我们收集的数据中,我们还看到了其他趋势。例如,在早期阶段,“corona”(冠状)一词在注册中是最常见的。然而,随着我们进入 4 月之后,我们看到 “covid”(冠状病毒病)一词取代了它。纵观整个 18 个月,“covid”一词占主导地位,占到了我们所审查域名注册中的近 25%。

占比较小的词汇也随着时间的推移呈现出多样性。例如,“vaccine”(疫苗)一词只占我们整体审查样本的 4%;但我们看到相匹配的注册量在 2020 年 11 月开始增长,并在 2021 年 1 月中旬达到高峰。

这些趋势反映了我们通过其他方式观察到的疫情词汇是如何随时间而变化的,例如,谷歌趋势 (Google Trends) 就显示了类似模式。

小结

在过去的 18 个月里,我们看到与 COVID-19 疫情相关的一组关键词相匹配的新域名的注册量有所激增和下降。虽然大多数这些域名并未被观察到有任何恶意,但有少数域名仍被确认为有害。

经过观察,许多恶意活动是可以预测的,它们提供奖励,通常金钱上的,或者冒充合法的登录页面来窃取凭证或提供恶意软件。唯一不同的是,在我们审查的这组域名中,用来引诱受害者的“钓钩”都以某种方式涉及 COVID-19。

DNSTICR 是一个正在进行的项目,它将继续根据不断变化的 COVID-19 全球疫情进行演变。OCTO 将继续向 ICANN 社群、注册服务机构或注册管理机构、安全专家和互联网用户提供关于该项目的最新信息。

不久后,我们还将发布一份更为详尽的报告。

Lead Security, Stability, and Resiliency Specialist

Siôn Lloyd

Read biographyRead biography