IT安全运维 | 黑域名简介

2020-04-20 20:49 作者：admin 浏览量：

黑域名是什么？
“黑域名”一般指的是如下两种类型的域名：
1. 通过非正规渠道购买、来历不明的域名；
2. 恶意软件用于在僵尸网络中实现管理及控制等功能而使用的域名；
这里我们所指的“黑域名”特指第二类，即恶意软件（如挖矿病毒、僵尸网络、勒索病毒等）通过“黑域名”实现被控制终端与控制服务器之间保持通信的域名。“黑域名”还可分为静态和动态两类。
静态黑域名常用于挖矿、勒索病毒等网络攻击行为。
动态黑域名常用于僵尸网络或C&C等网络攻击行为，常常使用DGA算法(Domain Generate Algorithm)生成。
对恶意程序而言，固定的恶意IP地址极易被安全设备检测并阻断，无法实现隐蔽与有效地控制。所以，僵尸网络与C&C攻击在设置恶意软件时极力避免使用固定IP地址作为被控终端与服务器端的连接。在程序中常常使用DGA算法来生成随机域名(黑域名)，以绕过常见的安全防护手段，实现对被控制端持续、有效的控制。通过DGA算法生成的黑域名在互联网中常常无法访问，因为恶意攻击者在恶意软件运行时，才对域名进行注册，所以我们发现的黑域名常常无法直接进行访问。 黑域名与普通域名的区别有哪些？
 现用现注册
由于注册域名需要费用，故恶意攻击者常常在黑域名计划上线前才注册域名，在此时黑域名才可在互联网环境中访问。
 使用时间短
由于现有安全防护措施对网络流量中的行为进行检测，发现可疑请求后将上传云端安全管理中心。所以在黑域名生效使用后，现有检测、防护设备可快速识别并广播防护规则实现有效阻断，为了避免长时间动态域名的暴露，恶意攻击使用一个特定黑域名的时间都不长，通过在1-7天左右。
同一款恶意软件硬编码多个黑域名
同一款恶意软件在制作时可能会内置多个黑域名，以提高成功连接僵尸网络的几率。
 
黑域名的常见通信过程是怎样的？
当下互联网环境中，常常使用黑域名来实现隐藏僵尸网络中主控端真实IP，因其使用域名的动态性，可绕过基于特征检测的安全防护设备防护功能。
以动态黑域名为例，说明黑域名的使用场景及使用过程。  
1. 感染并生成随机域名
恶意人员通过恶意邮件、网络入侵等手段，向用户计算机投放恶意病毒，释放C&C被控端软件。被控端软件部署后，根据DGA算法生成伪随机域名。
2. 注册随机域名，被控端反向连接主控端
恶意攻击者可提前注册部分黑域名，在恶意程序感染终端后使用DGA算法生成伪随机域名池，使用池中域名逐一向DNS服务器请求对应的IP地址，直至成功获取IP地址后即进行C&C会话连接，进行反向连接。
对于历史上发现的黑域名示例：
· zugzwang.me
· tr069.online
· tr069.tech
· tr069.support
· zvdhcktzjoz.biz
· 1cgqypq2o9mf4d3pgt0100twa.net
· d7gdxaph63ks231iac1gfmf0i.biz
· pwmdyyj.info
· sxekhtn.net
· bbhxyjv.org
· ihbgynr.biz
· ywqksthri.net
· ……
黑域名如何防护？
一般网络中出现黑域名后会向外网发送异常的黑域名连接请求，上端运营商、上级单位等机构会发现下级网络存在的异常流量，通常的防护策略是做DNS流量清洗或DNS过滤保护
 
以上内容由北京艾锑无限科技发展有限公司整理