欢迎进入UG环球官网(环球UG)!

ipfs矿机拼团(www.ipfs8.vip):使用DNS平安性自动检测和阻止恶意域

admin6天前72

攻击者天天注册数千个新域名,为未来的恶意流动做准备,如提供下令和控制(C2)、托管恶意软件和提供诱骗性内容。Palo Alto Networks接纳最先进的方式来检测新泛起的网络攻击,并通过云交付的域名拒绝列表珍爱客户。大多数现有的域滥用检测程序专注于挖掘正在举行的攻击的DNS查找模式,并自动抓取web内容以寻找恶意指示器。由于可见性和资源的限制,它们通常会延迟发现新的攻击,这就无法保证零日破绽。稀奇是为了阻止被屏障,恶意域名通常只在受到攻击后的短时间内举行攻击。因此,在考察到恶意流动之后,阻止这些域往往为时已晚。

为了尽快发现潜在的滥用域名,Palo Alto Networks开发了一个系统,可以在注册时凭证其注册纪录识别恶意域。该方式方式行使了来自WHOIS纪录的展望指标,可以展现滥用的网络热门(例如注册商、名称服务器)和异常的注册行为(例如批量域名注册)。与着名的在线URL扫描程序(以后称为“扫描程序”)相比,Palo Alto Networks的检测程序发现恶意域名的时间平均削减了9.25天。与通俗扫描程序相比,它在异常大规模的注册流动中对可疑的新注册域名(NRD)的检出率要高5倍。

一旦检测程序捕捉到 “疑似恶意”的域,就会最先举行平安防护。

为了在恶意域名的内容启动之前识别出恶意域,Palo Alto Networks需要在域名注册时识别出作为攻击者异常行为展望特征。最常见的指标包罗由于成本、匿名性和审查制度而受到攻击者青睐的特定网络服务。此外,攻击者通常会对大量注册的数千个域名提议攻击,以最大化利润,并在域名被屏障之前维持攻击。此外,恶意域名还具有怪异的词汇特征,例如使用吓人的单词,下面将讨论这些特征。所有这些指标都可以从WHOIS纪录中提取,一旦域名注册完成,WHOIS纪录就会向民众公然。以往的研究解释,WHOIS信息可以有用、准确地露出可能被用于网络滥用的域名。

基于Palo Alto Networks现有的数据和其对网络滥用的履历,研究职员行使了三组展望指标。最大的一组展望指标是WHOIS纪录的综合信誉得分。每个域名的WHOIS纪录包罗域名所有者,注册商和名称服务器。连系Palo Alto Networks在连续攻击搜索历程中积累的知识,Palo Alto Networks可以在WHOIS数据集中识别网络犯罪热门。为了提取这些指标,Palo Alto Networks确立了一个信誉系统,剖析WHOIS纪录中的每个字段。然后,检测程序盘算每个NRD的信誉评分,以量化其与已确认的恶意域的相似性。

从信誉数据库中,Palo Alto Networks可以确定被暗网市场滥用的热门。Palo Alto Networks直接捕捉已知恶意域名的注册者。例如,注册电子邮件emilyandrews0915@gmail.com是一个攻击运营商的身份,由于其域名的85.14%被确以为网络钓鱼托管网站。如图1所示,其中一个钓鱼域ophenhand[.]org网站上有一个虚伪的共享文件,要求提供微软Outlook和Office 365账户凭证。第一个登录选项只会重定向到带有错误信息的微软官方网站,而其他两个登录选项会通过URL ophenhand[.]org/ghose123354/next.php将受害者的凭证发送到攻击者的服务器。

由于低成本和宽松的审查制度,攻击者偏心一些服务提供商,包罗特定的注册商和名称服务器。因此,特定的服务组合可能是潜在恶意流动泛起的标识。例如,Palo Alto Networks考察到一个使用相同服务的恶意域集群。他们的注册商是总部设在亚太区域的主要互联网服务提供商,WHOIS服务器是discount-domain[.]com,服务器名为zi3qe[.]com。在具有此设置文件的所有NRD中,87.01%被归类为恶意或成人。大多数域是由域天生算法(DGA)天生的,天生诸如hfcclixb [.xyz]之类的效果。

除了可以在WHOIS中看到的,暂且域名注册是未来网络滥用的另一个可靠指标。攻击者通常将其服务部署在成百上千个域上,以逃避检测。这使他们能够在旧域名被关闭时快速切换到其他域名。为了控制成本和削减运营起劲,攻击者更有可能从拥有相同WHOIS信息的相同注册商批量购置域名。Palo Alto Networks的检测天天对WHOIS数据举行汇总,以剖析注册流动,并将汇总信息输入讯断展望模子中。从直觉上看,一个域所属的流动规模越大,它就越令人嫌疑。

最后一组功效集中于恶意域的词汇特征,有一些要害字,如secure, alert和award,常被攻击者用来天生类似于抢注域名的诱骗性域名。这些令人生畏的字眼往往会让受害者信托,恶意域名与一些正当的、主要的或有利可图的器械有关。另一方面,DGA可能会发生显著的随机域名。这些域名对人类来说毫无意义,但被普遍用于携带C2流量。Palo Alto Networks针对已知的恶意域和正当域确立单独的语言模子,以评估NRD危险的可能性。

基于以上所有特征,Palo Alto Networks训练了多个装备学习模子来展望一样平常NRD中的恶意域。图2显示了2020年12月注册域名的检测性能。该系统天天从约莫20000个NRD中平均检测到500个恶意域。天天的平均检出率为2.56%。以下各节将使用统计数据和现实案例说明该展望性笼罩局限若何提供主要珍爱。

提前快速检测

恶意域名注册后的DNS流量漫衍

新的恶意域名通常在注册后不久就会举行自动攻击,之后就会被列入公然拒绝名单。相比之下,正当服务开发商通常在正式宣布网站并服务于众多接见者之前就购置域名。上图显示了注册时被Palo Alto Networks的检测程序捕捉的可疑域名的DNS流量漫衍。Palo Alto Networks从被动DNS数据集中检索此DNS流量。在对这些域名的DNS查询中,62.31%是在激活后的头10天内请求的。只有1%的流量发生在激活后的30天内,这意味着大多数攻击都是在第一个月内提议的。因此,尽快检测恶意域是至关主要的。与大多数网络滥用检测程序差其余是,它们的装备是识别正在举行的攻击,自动检测可以在恶意域造成任何损坏之前阻止它们。


为了评估Palo Alto Networks的系统带来的利益,Palo Alto Networks交织检查了扫描程序对上图中系统检测到的恶意DNS流量的笼罩率。只要一个域名的DNS查询被以为是由扫描程序笼罩的,只要它的一个引擎将域名归类为恶意的。由于差异域的检测时间差异,且差异域的DNS流量漫衍差异,以是天天的整体笼罩局限是颠簸的。然则,随着时间的推移,笼罩率有增添的趋势。扫描程序在注册当天只能阻止8.23%的攻击流量。前10天的平均流量笼罩率为17.14%。在域名注册约莫30天之后,扫描程序才会阻止60%的恶意DNS流量。相比之下,Palo Alto Networks的检测程序平均提前9.25天捕捉这些域名,而且笼罩了这些恶意域的4.28倍多的DNS流量。

C2域minorleage[.]top就是早期检测优势的一个示例,该域名于2020年11月13日注册,并被Palo Alto Networks的系统符号为可疑。它的WHOIS纪录收到了一个较低的信誉分数,由于所有域名注册的注册人被证实是恶意的。凭证其他公然的信息,其注册国所在地“莫斯科”的历史恶意率为74%,其注册商的恶意率为44%。Palo Alto Networks WildFire考察到它从12月23日最先服务于特洛伊木马程序。 2021年12月13日,WildFire在此流动中检测到298个恶意软件,举行了渗透流动,包罗窃取Windows Vault密码,接见数字钱币钱包和流程注入。恶意软件将minorleage[.]top剖析为托管C2服务器的三个IP地址(104.24.101[.]218, 104.24.100[.]218 and 172.67.167[.]27)。然后恶意软件通过端口443直接确立到其中一个地址的SSL毗邻。在最初的通讯之后,C2服务器向受害者的装备发送了约莫3.3 MB的恶意载荷。C2毗邻的JA3指纹(JA3: 6312930a139fa3ed22b87abb75c16afa, JA3s:8685e43ade3e6ec8993efb5d149fb4bc)被Sodinokibi勒索软件普遍使用。只管扫描程序在2020年12月24日最先屏障该域名,但住手12月23日,已经有68个恶意软件被流传。因此,Palo Alto Networks的系统的早期检测可以为本次流动的C2流量带来23%的分外笼罩率。除了与考察到的恶意软件确立毗邻之外,Palo Alto Networks还发现跨越1000个DNS请求。从被动DNS到C2地址的最快时间是12月16日。这解释攻击者在更早的时刻就部署了攻击基础设施,并最先了渗透流动。

在penguinsac[.]com上托管的虚伪验证页面

,

欧博亚洲注册

欢迎进入欧博亚洲注册(www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

,

伪造的登录页面托管在penguinsac[.]com上

另一个真实的示例是名为penguinsac[.]com的钓鱼域,攻击者于2020年12月2日注册了该域名。检测程序阻止它,由于注册者被以为是专门的攻击者。该域托管两个伪造的登录页面,试图窃取受害者对Microsoft OneDrive和Office的凭证。12月23日,两家供应商和其他三家供应商在扫描程序上将其符号为钓鱼域名。然而,最早的被动DNS通讯可以追溯到12月15日。Palo Alto Networks发现10%的恶意DNS请求发生在扫描程序提供的任何供应商检测之前。

针对恶意域名注册流动的笼罩率更高

为了吸引更多流量并阻止被阻止,灰色服务启动程序通常会在短时间内用相同的注册信息购置数百个域。因此,大量类似的NRD可能是网络滥用的标识。通过周全领会NRD的WHOIS纪录,Palo Alto Networks的系统具有识别这种可疑行为的优势,并为恶意域注册流动提供了更高的笼罩率。

扫描程序和检测程序在差异规模挂号流动中的笼罩率

上图对照了Palo Alto Networks的检测程序和扫描程序之间差异规模注册流动的笼罩率。Palo Alto Networks发现具有相同注册人、注册商和NS信息的NRD分组到统一个集群中。此图显示了注册时被Palo Alto Networks的检测程序符号为将被恶意的域名的百分比。为了举行对照,Palo Alto Networks盘算了域名注册一个月后在扫描程序中被至少一个供应商检测到的比率。

虽然小集群的笼罩率类似,但Palo Alto Networks的检测程序显著提高了跨越500个域的流动的笼罩率。平均而言,Palo Alto Networks对这些大型挂号流动的NRD的检出率为21.44%,约莫是通俗扫描程序的5倍。这种优势的泛起有两个缘故原由:首先,该系统连续天天扫描NRD,以便在发现可疑域名时具有普遍的能见度;其次,Palo Alto Networks的方式盘算了NRD之间的相关性,以识别注册流动,并在滥用识别时思量到这一特征。

虚伪的Square登录页面托管在kelvinso*[.]com

Palo Alto Networks的检测器捕捉了一个注册了四个域名的钓鱼流动(kelvinso412[.]com, kelvinso45[.]com, kelvinso4[.]com and kelvinsoirnt98[.]com)。这些域名是从统一注册商处购置的同时使用统一托管服务中的名称服务器websiteserverbox[.]com。所有人在注册三天后就最先指向统一个钓鱼页面,并在2021年1月6日获得了最高的日接见量。如图7所示,攻击者试图窃取受害者的Square凭证。Palo Alto Networks在扫描程序中没有看到任何供应商乐成地完全阻止了这次攻击。只管其中两个一旦将kelvinso45[.]com 托管为恶意内容,便将其符号为网络钓鱼,但他们并未对其他三个域一致地实行该标签。

与仅涉及有限数目域的网络钓鱼流动差异,赌钱和成人流动更有可能通过数千个域绅士传。这些灰色软件网站通常使用自动剧本天生随便域名并批量注册。Palo Alto Networks的系统在2020年10月至11月时代捕捉到了其中一个攻击流动。在统一时期确立的拥有该流动WHOIS设置文件的11831个NRD中,检测程序将9544个(80.67%)域名符号为可疑,而扫描程序仅笼罩498个(4.21%)。在这次流动中,Palo Alto Networks考察了许多中国成人域名,好比 99s13[.]xyz 和fs10[.]xyz 在扫描程序中带有一个恶意计数和一个可疑计数。然则,Palo Alto Networks还考察到更多具有顶级域(TLD) .xyz的NRD,好比69av19[.]xyz和theav9[.]xyz,它们具有相似的内容,只管在扫描程序中被以为是清洁的。

笼罩局限增大

除了直接检测与恶意流动有关的网站外,检测程序还为网络滥用入口点提供了创新的笼罩局限。为了使利润最大化,暗网市场介入者,稀奇是成人和博彩网站运营商,接纳种种方式来提高能见度和增添接见量。攻击者的战略之一是通过注册或购置来自域所有者的流量,从他们控制的许多网关域重定向流量。这些门户网站的目的是通过显示诱骗性链接或自动重定向接见者,将接见者指导到恶意上岸网站。

检测用作灰色服务入口的域并非易事。首先,启动程序通常会在这些网站上填充无意义的内容或从正当出书物(例如新闻媒体)中抓取的文字。此外,攻击者接纳更庞大的方式来隐藏其意图,例如将恶意链接隐藏在图片中并在重定向之前行使验证码。对于基于内容的滥用检测程序而言,触发可疑的重定向并考察其与地下服务的关系更具挑战性。

hobbytoypark[.]com上的赌钱网关

赌钱上岸网站cc222[.]com

Palo Alto Networks的检测程序没有挖掘诱骗性的内容或链接,而是从其注册信息中观察这些暗网市场网关,并发现可疑的指标。例如,该系统在2020年12月10日捕捉了一场注册了数百个门户域名的赌钱流动。攻击操作职员填满了他们所有的网站(例如,hobbytoypark[.]com,jemstutoring[.]com,krk13pearland[.]com)和从盛行新闻媒体随便复制的文章以及脱销书的封面图片。文字没有任何意义,与图片无关,以是它不会直接解释隐藏的隐藏服务。上岸域cc222[.]com未明确引入,但已附加到所有图像上。由于页面上没有诱骗性内容或恶意链接,因此这些域可以逃避无法识别图像中文本的基于内容的检测程序。

Palo Alto Networks的检测器凭证注册时的展望特征将此灰色服务流动符号为可疑。首先,其WHOIS信誉评分很低。注册商信息被编辑以珍爱隐私,而注册商conbin[.]com具有45.12%的历史NRD符号为恶意。此外,NRD聚类算法将服务于该流动的统一天统一小时内注册的842个域名分组,这种不正常的注册行为也是可疑流动的一个有力指标。

总结

Palo Alto Networks会亲热跟踪新注册的域名,并自动挖掘潜在的网络犯罪流动,包罗C2、网络钓鱼和灰色软件托管,由于大多数网络攻击都是在恶意域注册后的短时间内发生的。与通俗扫描程序相比,Palo Alto Networks的系统可以防止新泛起的攻击,从攻击者的注册流动中检测出更多的可疑域名,并发现可疑的恶意指标。

本文翻译自:https://unit42.paloaltonetworks.com/proactive-detector/

IPFS

IPFS(www.ipfs8.vip)是FiLecoin致力服务于使用FiLecoin存储和检索数据的官方权威平台。IPFS官网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信息。并开放FiLecoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。

上一篇 下一篇

猜你喜欢

网友评论

  • 2021-10-01 00:05:58

      三是健全投资者珍爱措施。将投资者珍爱作为终止挂牌事情的重中之重。在自动摘牌历程中,要求挂牌公司制订合理的异议股东珍爱措施并经股东大会审议通过,主理券商须就异议股东珍爱措施的合理性发注释确意见。对精选层公司和股东人数跨越200人的创新层、基础层公司,执行网络投票和中小股东单独计票机制。在强制摘牌历程中,要求挂牌公司和主理券商充实展现风险,努力回应股东诉求,切实珍爱投资者的知情权、介入权;同时设置十个生意日的摘牌整理期,充实保障投资者退出时机。哈哈,我是死忠粉

随机文章
热门文章
热评文章
热门标签