zh

报告可能与疫情大流行相关的域名

2020 年 05 月 1 日
作者: Siôn LloydSiôn Lloyd

简介

任何重大事件都会吸引一大批感兴趣的人员。不论是在线上还是线下,某些人秉持着良好意愿,而某些人则图谋不轨。特别是在发生具有新闻价值的事件时,包含与这些事件相关词汇的域名注册毫无疑问都会有所增加。

"2019 冠状病毒病 (COVID-19)"全球疫情大流行事件也不例外。我们看到人们正在注册更多网站来筹集资金,或为受影响的人群提供直接或间接的帮助。我们也看到有些人利用这次疫情大流行来注册域名,以赚取网络流量、引诱受害者,使用网络钓鱼、恶意软件和网上欺诈来诱骗终端用户。

为了针对后面这种情况做出响应,一系列团体现已编制和分享了"威胁情报",即针对与这类域名相关的已报告或已观察到的安全威胁提供信息和数据。某些团体,例如:COVID-19 网络威胁情报队 (COVID-19 Cyber Threat Intelligence League)COVID-19 网络威胁联盟 (COVID-19 Cyber Threat Coalition) 正在采取措施打击这些为非作歹的人员。

ICANN 组织也积极参与了这场涉及 COVID-19 的反滥用工作,利用我们的知识和专有技术,将实用的情报提供给有能力打击恶意行为的人员和组织。我们正在筛查利用域文件创建的清单,并配以外部来源数据来区别大部分善意域名和少量恶意域名。但我们也必须十分谨慎,避免在信息暴涨时给大家造成干扰。换句话说,尽管我们的目标是为快速评估域名状态提供数据,但我们还要确保这项评估具有高置信水平。若无法到达这两个目标,我们的工作则可能弊大于利。

我们正在编制报告,列出我们认为正在利用 COVID-19 疫情大流行进行网络钓鱼或恶意活动的近期注册域名。这些报告将与负责任的相关方进行分享(主要为注册服务机构或注册管理机构),并囊括 ICANN 组织认为这些域名被恶意使用的证据和其他背景信息,从而帮助负责任的相关方能够决定采取哪些正确措施。

流程详情

为了生成这些报告,我们审核了所有现有的通用顶级域 (gTLD) 域文件。这些文件使得我们能够查看新授权的注册(尽管我们的报告生成流程还可能会从任何域名或主机名处搜集信息)。具体来说,我们会搜索新的域文件中包含"COVID"、"冠状病毒"、"大流行"和其他相关字眼的词汇。但这份域名搜索清单暂不可以采取行动,因为它包括了善意和恶意域名。我们还需对这份清单进行提炼,从而确保其内容具有高置信度。

接下来,我们会查看一系列威胁情报,看看是否有迹象显示该域名被用于网络钓鱼或恶意软件分发。我们首先会使用 Virus Total、AlienVault OTX、Phishtank 和 Google Safe Browsing 等工具;但我们的报告生成流程是可扩展的,以确保可以添加或删除威胁情报来源。这些来源所提供的数据能够表明一个域名是否为恶意域名,尽管在大部分情况下我们几乎或完全不能找到相关证据。缺乏证据可能是因为:

  • 许多我们看到的域名都属于"停放"域名,例如,注册后旨在用于溢价售出或通过发布广告来赚取收益的域名。
  • 还有一些域名的注册时间尚短,尚未被用于恶意目的,或这类行为尚未被发现。

因此,有可能过一段时间后,该域名的信誉将会发生改变。为了放宽时间限制,我们将定期重新检测这些域名。

还值得注意的是,我们所使用的信息来源重点关注恶意软件和网络钓鱼,因此我们所查看的恶意活动大部分都处在这两个类别之下。我们也会查找在垃圾邮件或其他不受欢迎行为中涉及的域名。但在我们考量这类域名时,它们必须列在恶意软件或网络钓鱼的信息来源之中。一个域名可能存在于多种类别之中,这是很常见的。因为威胁情报提供商会采取不同搜集方式来探测一种恶意活动的多个方面。同时,分类也并非是一种精准科学,可以有多种解释。所以,在这里我们使用"恶意"一词来代指网络钓鱼或恶意软件,但这也并没有排除在垃圾邮件或其他不受欢迎行为清单中显示的域名。

一旦有可靠证据显示一种恶意活动被发现,我们都会按照《注册服务机构滥用报告指南 (Guide to Registrar Abuse Reporting)》中由注册服务机构规定的报告要求,针对这类域名搜集更多信息。报告信息包括注册服务机构(和具体滥用行为联系人)、主机托管信息等。搜集这类信息旨在帮助报告接收人决定是否针对该域名采取行动(例如:停用)。上述报告生成流程可被简化成以下的流程图:

Reporting Potential Pandemic-Related Domains Flowchart

该流程的结果将采用两种不同格式:

  • 逗号分隔值 (Comma Separated Values, CSV) 摘要囊括了:域名、解析后的 IP 地址、域名服务器记录、各种威胁情报来源给出的基本评分和总体评分。
  • 针对每个域名提供域名详情,包括在可用且适当时,囊括有关外部证据的链接。

统计数据

自我们从 3 月底开始启动这项工作以来,我们平均每天会看到大约 3,250 个新域名符合我们的搜索条件。这意味着截至本文撰写之时,我们已经查看了 82,000 多个域名。在这些域名中,我们已经找到证据显示大约 7,000 个域名存有恶意行为,并对其加以解决(例如:针对那些尚未被停用的域名)。任何一天,与威胁情报相关的域名数量都在不断增多,这是因为目前已经有更多机会观察到与域名相关的行为。鉴于此,报告中老域名的占比将会比新域名的占比要高。换句话说,恶意域名已经开始被发现和停用。

您可能注意到,我们分享的数据比其他公共报告中的数据要低。这主要有两个原因:

  • 我们查看的信息来源仅限于域文件中的域名。我们并不查看被动获取 DNS 信息来源中的全面托管信息,或其他类似初始资料。
  • 我们仅列出有充足证据显示进行了恶意活动并仍旧在执行解析工作的域名。

我们所采纳的方法排除了投机商已购买的域名和已停放的域名。尽管阻止访问这类域名不会干扰一名终端用户,但我们无权自信地声称这类域名是恶意域名。

小结

可悲的是,总有图谋不轨的人希望利用任何形势(甚至包括一场疫情大流行)牟取利益。我们针对域名误用所做出的响应是:将我们认为可能是恶意域名的信息和证据提交给能够采取适当措施的最恰当的相关方。我们还认为,提供这类证据必须符合相当高的标准,确保我们在发出信号时不会造成更多干扰。我们花费了大量精力,以避免我们的报告生成流程误报信息。我们期待着与社群和其他人员展开合作,改进我们的各项流程。

Authors

Siôn Lloyd

Lead Security, Stability, and Resiliency Specialist
Read biographyRead biography