研究聚焦低价成为不法分子的温床.pdfVIP

2 0 1 6 年 4 月 4 日，星期一 研究聚焦：低价成为不法分子的温床 作者：Tazz。 执行摘要 2 月底，Talos 团队的一名研究员收到某域名经销商发送的一封促销电子邮件。于是，她在 3 月的第一周对这家经销商进行了评估。这封来自Namecheap 的电子邮件声称可以提供大 幅折扣的域名，价格只有88 美分。我们收到这封电子邮件的时间颇有些让人感到巧合，因为 我们目前正在开展特定的研究，以确定域名的定价和那些与恶意软件/网络钓鱼/垃圾邮件相关 的域之间是否存在联系。本文将探讨大幅折扣域服务与违法活动之间的关系。就本文而言， 恶意一词将包括恶意软件、网络钓鱼和垃圾邮件等恶意活动。 背景 Talos 曾经就不法分子与廉价/免费服务之间相互吸引的关系展开调查。毫无疑问，在互联网 上，我们花钱可以买到我们想要的东西。但是如果买的是廉价或免费的，很有可能会被不法 分子利用。我们发现对于动态DNS，这一理论很符合现实，并且我们看到当攻击者转向动态 DNS 时，许多不法分子都在利用廉价服务。有关更多内容，可参阅 /security/dynamic-detection-of-malicious-ddns。 任何商人，无论好坏，都是以快速赚钱为目标。要达到这个目标，就必须追求投资回报最大 化，并且/或者找到一个只需较低成本即可进入的市场。如果起步经费需要5000 美元，那么 大多数人就会望而止步，对犯罪分子而言更是如此。但是如果成本只需要50 美元，甚至5 美元，那么无疑就更有可能吸引很多人前来淘金。这套原则同样适用于在互联网上兴风作浪 的不法分子。因此，考虑到这封电子邮件声称能够提供大幅折扣的顶级域名(TLD)，Talos 团 队设想了一个情况，我们来探讨一下。 假设：当域名价格小于或等于 1 美元时，注册量会增加，同时与 TLD 有关的恶意活动也会相 应地增加。 交易 下面是N 促销电子邮件的屏幕截图，宣传他们的低廉价格（88 美分）。 Namecheap 促销电子邮件的正文 我们在3 月21 日快速访问了他们的网站，发现这场本应该在3 月10 日截止“交易”非但没 有像促销电子邮件里说的那样停止销售，反而为那些虎视眈眈的不法分子增加了5 个充满诱 惑力的条件。 第一，只需花费88 美分就可以获得域名，与通常那些有数量限制的“好得让人无法抗拒”的 交易不同，在这里，你想买多少就能买多少！ 第二，优惠活动并没有如电子邮件中所述那样在3 月10 日结束。事实上，这次优惠持续了 50 天，直到3 月31 日才停止。 2016 年3 月21 日Namecheap 的销售情况截图。 第三，WhoisGuard 会屏蔽注册者的详细信息，不仅免费向新域名购者提供，而且支持免费 变更域名。为了让交易更加充满诱惑力，购买者甚至只需花费1.99 美元即可获得合法的SSL 证书。第五点也是最后一点，除了在电子邮件中列出的8 种域名以外，还有其他 16 种域名 可供选择。 来自N 的88 美分域名列表 N 的原始网页内容 值得注意的是，Namecheap 并不是以如此大幅的折扣提供域名的唯一商家。在我们的研究中， 像前面介绍的Namecheap 这样以低成本拉客的活动最早出现在 1 月29 日，并一直持续到2 月初。这表明其他很多提供商也在以不足1 美元的价格提供TLD （截图中反映的价格是 2016 年 1 月29 日至2 月8 日期间的促销价格）。 2016 年 1 月29 日的各种折扣 躲在 WHOISGUARD 之后的是哪些人？ 利用Domain Tool Iris 产品，我们将Namecheap 促销开始后前40 天的销售情况与大幅折扣 开始之前40 天的销售情况进行了比较，得出了一些有趣的结论。数据反映的是所有经销商的 情况，而不仅仅是Namecheap。因为尽管Namecheap 的广告促成了本文，但他们并不是唯 一对TLD 提供大幅折扣的零售商。需要注意的是，评估以下风险评分时，这些评分表示的是 查询当天（3 月21 日）计算所得的分数。因此，从1 月1 日开始为期40-80 天的活动会影 响3 月21 日所反映的风险评分。在评估2 月11 日到3 月21 日之间注册的域名的风险评分 时，我们仅考虑期限在0 到40 天的