IT安全運維 | 黑域名簡介

2020-04-20 20:49 作者：admin 瀏覽量：

黑域名是什么？
“黑域名”一般指的是如下兩種類型的域名：
1. 通過非正規(guī)渠道購買、來歷不明的域名；
2. 惡意軟件用于在僵尸網(wǎng)絡(luò)中實現(xiàn)管理及控制等功能而使用的域名；
這里我們所指的“黑域名”特指第二類，即惡意軟件（如挖礦病毒、僵尸網(wǎng)絡(luò)、勒索病毒等）通過“黑域名”實現(xiàn)被控制終端與控制服務(wù)器之間保持通信的域名。“黑域名”還可分為靜態(tài)和動態(tài)兩類。
靜態(tài)黑域名常用于挖礦、勒索病毒等網(wǎng)絡(luò)攻擊行為。
動態(tài)黑域名常用于僵尸網(wǎng)絡(luò)或C&C等網(wǎng)絡(luò)攻擊行為，常常使用DGA算法(Domain Generate Algorithm)生成。
對惡意程序而言，固定的惡意IP地址極易被安全設(shè)備檢測并阻斷，無法實現(xiàn)隱蔽與有效地控制。所以，僵尸網(wǎng)絡(luò)與C&C攻擊在設(shè)置惡意軟件時極力避免使用固定IP地址作為被控終端與服務(wù)器端的連接。在程序中常常使用DGA算法來生成隨機域名(黑域名)，以繞過常見的安全防護手段，實現(xiàn)對被控制端持續(xù)、有效的控制。通過DGA算法生成的黑域名在互聯(lián)網(wǎng)中常常無法訪問，因為惡意攻擊者在惡意軟件運行時，才對域名進行注冊，所以我們發(fā)現(xiàn)的黑域名常常無法直接進行訪問。 黑域名與普通域名的區(qū)別有哪些？
 現(xiàn)用現(xiàn)注冊
由于注冊域名需要費用，故惡意攻擊者常常在黑域名計劃上線前才注冊域名，在此時黑域名才可在互聯(lián)網(wǎng)環(huán)境中訪問。
 使用時間短
由于現(xiàn)有安全防護措施對網(wǎng)絡(luò)流量中的行為進行檢測，發(fā)現(xiàn)可疑請求后將上傳云端安全管理中心。所以在黑域名生效使用后，現(xiàn)有檢測、防護設(shè)備可快速識別并廣播防護規(guī)則實現(xiàn)有效阻斷，為了避免長時間動態(tài)域名的暴露，惡意攻擊使用一個特定黑域名的時間都不長，通過在1-7天左右。
同一款惡意軟件硬編碼多個黑域名
同一款惡意軟件在制作時可能會內(nèi)置多個黑域名，以提高成功連接僵尸網(wǎng)絡(luò)的幾率。
 
黑域名的常見通信過程是怎樣的？
當下互聯(lián)網(wǎng)環(huán)境中，常常使用黑域名來實現(xiàn)隱藏僵尸網(wǎng)絡(luò)中主控端真實IP，因其使用域名的動態(tài)性，可繞過基于特征檢測的安全防護設(shè)備防護功能。
以動態(tài)黑域名為例，說明黑域名的使用場景及使用過程。  
1. 感染并生成隨機域名
惡意人員通過惡意郵件、網(wǎng)絡(luò)入侵等手段，向用戶計算機投放惡意病毒，釋放C&C被控端軟件。被控端軟件部署后，根據(jù)DGA算法生成偽隨機域名。
2. 注冊隨機域名，被控端反向連接主控端
惡意攻擊者可提前注冊部分黑域名，在惡意程序感染終端后使用DGA算法生成偽隨機域名池，使用池中域名逐一向DNS服務(wù)器請求對應(yīng)的IP地址，直至成功獲取IP地址后即進行C&C會話連接，進行反向連接。
對于歷史上發(fā)現(xiàn)的黑域名示例：
· zugzwang.me
· tr069.online
· tr069.tech
· tr069.support
· zvdhcktzjoz.biz
· 1cgqypq2o9mf4d3pgt0100twa.net
· d7gdxaph63ks231iac1gfmf0i.biz
· pwmdyyj.info
· sxekhtn.net
· bbhxyjv.org
· ihbgynr.biz
· ywqksthri.net
· ……
黑域名如何防護？
一般網(wǎng)絡(luò)中出現(xiàn)黑域名后會向外網(wǎng)發(fā)送異常的黑域名連接請求，上端運營商、上級單位等機構(gòu)會發(fā)現(xiàn)下級網(wǎng)絡(luò)存在的異常流量，通常的防護策略是做DNS流量清洗或DNS過濾保護
 
以上內(nèi)容由北京艾銻無限科技發(fā)展有限公司整理