大家好，我是 零日情報局。

本文首發於公眾號 零日情報局，微信ID：lingriqingbaoju。 

疫情當前，川普試圖解除“居家隔離令”、重啟經濟，而這一決定遭到衛生專家和部分州長的嚴重反對。隨後，在保守派團體和槍支協會的煽動下，民眾爆發大規模抗議活動，開始持槍遊行，要求解除封鎖，儘快復工。

保守派的示威並未止步於此。就在抗議活動爆發前後，大量以“reopen（重新開放）”+“美國城市或州名”格式的域名集中湧現，其中多數域名可跳轉到保守派共和黨人的Facebook頁面、槍支協會網站，網站內容大多為煽動群眾組織遊行、向州長請願復產復工。

非常肯定的是，“reopen”域名激增背後，矛頭對準了這場全國性的抗議活動。今天零日要和大家說的就是，域名，這個虛擬“網路名片”，如今如何成為發起網路攻擊的新媒介。

“網路門牌”蘊藏巨大價值

域名威脅釀成新雷暴

為什麼越來越多攻擊者開始青睞“域名”為攻擊媒介？首先要從域名背後蘊藏的巨大價值說起。

4月初，微軟以170萬美金的高價買下“魔鬼域名”——corp.com，但並非是因為追求“靚號”，其最終目的是防止網路犯罪分子濫用。

此話怎講？因為技術測試表明，任何人只要擁有corp.com，就能訪問全球主要公司數十萬臺 Windows PC 中海量的密碼、電子郵件和其他敏感資料。這就是說，誰掌握了 corp.com域名，就等於扼住了大多數公司的資訊保安命脈。

儘管像“魔鬼域名”這樣的存在只是個例。但我們要警惕的是，域名的擁有者可將域名隨意指向任意網站，加上域名背後所彙集的巨大流量，對攻擊者來說都是一筆筆無形寶藏。

而在瞭解域名所具備的巨量價值後，接下來我們重點關注的就是，攻擊者如何利用域名發起攻擊？對此，零日將域名背後的安全威脅分為網路釣魚和輿論傳播兩個方向。

其一，偷天換日，利用域名發起網路釣魚，竊取機密資訊。這就是常說的“域名欺詐”，這種安全威脅隨著新頂級域名的出現，隱私政策和社交工程策略的變化，演變出新的攻擊形式，這種域名欺詐的攻擊形式表現有三：搭建釣魚網站、傳送釣魚郵件以及劫持誤植流量。

（1）搭建釣魚網站：攻擊者可以搭建一個山寨高仿網站銷售商品、進行交易，或是偽裝成企業網站竊取訪者隱私資料、登入憑證等核心資訊。

根據Proofpoint Digital Risk Protection 研究人員的發現，超過四分之三的企業發現了與自身品牌相似的高仿域名，例如，真實域名以 “.net”結尾，高仿域名則以 “.com”結尾。

此前在《繼Zoom爆雷後：世界頭號網路會議軟體WebEx，成為攻擊者的“真香”目標》一文中，零日曾詳細介紹了攻擊者是如何利用域名偽裝成官網、竊取使用者登入憑證的。

（2）傳送釣魚郵件：越來越多的攻擊者不再“守株待兔”，而是主動向目標傳送含有惡意域名的電子郵件，同樣，這些域名也是偽裝成真實品牌，騙取使用者點選釣魚連結，這種攻擊方式在商務郵件詐騙 (BEC) 中十分常見。

（3）劫持誤植流量：也就是通過 “誤植域名 (typo-squatting) ” 劫持誤植流量來獲取經濟利益。這裡提到的“誤植域名”，就是說使用者在輸入錯誤域名時卻看到了“真實”域名下的網站，比如appple.com、taobaoo.com。

新頂級域名 (TLD) 的興起導致了欺詐性域名註冊激增，許多域名擁有合法證書、掛鎖顯示，但這絕不意味著這些網站是真實可信的。域名欺詐帶來的後果，輕則個人或企業財產受到損失，重則核心資料被攻擊者竊取，從而引發更嚴重的安全威脅。

其二，煽風點火，藉助域名散播虛假訊息，操縱輿論。攻擊者利用“域名可隨意導向任意網站”的特性，將訪問者導向目標網站，巨大流量的彙整合為網路輿論、虛假訊息傳播的有利土壤。

在域名的導流下，攻擊者可利用其控制網路輿論、煽動群眾情緒，嚴重威脅到了社會穩定和資訊保安，而這正是今天零日要和大家分享的“reopen”域名激增事件。

“reopen”域名激增

全部關聯美國特定組織

如開頭新聞提到，國外安全網站KrebsOnSecurity近期關注到，新註冊的“reopen”主題域名，既包括了美國各州、城市名字，又覆蓋了一些概念化的資訊。

比如“ reopeningchurch.com ”或“ reopenamericanbusiness.com”，從域名錶面資訊來看，這些域名被利用傳遞著“復產復工”的核心資訊。

下面我們詳細看下幾個典型的“reopen”域名，和其所關聯的網站內容、背後組織：

儘管有許多域名並未正式啟動，仍處於休眠狀態。但是，大家可以很明顯看出，這些新註冊的“reopen”域名，大多都與保守派團體、共和黨組織、槍支權益組織，或者是各州正在進行的示威活動具有高關聯性。

追根溯源之下

關於“reopen”域名的幕後推測

在美國大選的關鍵時期，保守派組織全國性抗議活動，這些“reopen”域名或多或少都與保守派脫不了干係，但事實就只是我們看到的那樣簡單嗎？

也不盡然，經過進一步挖掘之後，關於“reopen”域名的始作俑者，除了本土的兩派之爭，極可能還有國家背景的黑客或組織推動暗潮，根據線索推測如下：

推測一：攻擊者身份具有俄羅斯背景

根據線索發現，在美國東部時間4月17日下午3:25-4:43之間，一個小時左右的時間就有50餘個“reopen”域名被註冊。其中有一個名為Michael Murphy的註冊人引起了注意，這個註冊人與明尼蘇達州和賓夕法尼亞州的槍支版權域名相關（reopenmn.com和reopenpa.com）。

繼續深挖該註冊人的各種資料，可知他在佛羅里達州經營一家網站設計公司，但其聯絡方式相關的各種社交媒體資料並不完整。再根據他的電話號碼進行Skype查詢會出現俄羅斯個人資料，名為валентинасынах（譯為“情人節兒子”）。

這個名為Michael Murphy的註冊人身份疑點，讓人懷疑這些域名的背後，有俄羅斯背景黑客或組織介入，或許將重蹈2016年美國大選覆轍。

推測二：攻擊目的在於干擾大選

2016年俄羅斯干預美國大選，除了大名鼎鼎的“郵件門”事件，挑撥兩黨矛盾、削弱民主黨實力外，俄羅斯還採取了輿論戰術。利用虛假的社交媒體賬戶，僱傭網路寫手或其他手段散步虛假訊息，從而使網路輿論倒向川普。

而本次利用域名煽動民眾情緒、組織抗議活動，擴大槍支權益的影響，可以說是在擾亂美國正常秩序的同時，將局面向有利於保守派的方向傾斜，持續激化兩黨矛盾。

前後兩次的輿論戰手法看起來如出一轍，只不過上一次干擾美國大選的媒介是社交媒體，而這一次換成了域名。

域名，這個網路攻擊的新媒介已經走進了大眾視線。我們當下要思考的是，以域名為攻擊跳板的安全威脅又該如何防範？

零日反思

多年來，眾多企業對與品牌相關的域名“緊追不捨”，重金、申訴等手段輪番上陣，只為換回一張網路名牌，也正是因為看到了這些域名背後蘊藏的安全隱患。這種經過偽飾的域名，是散播虛假訊息、網路釣魚的天然優勢，以後此類的網路攻擊勢必將日益遞增，有效防範措施才是當務之急。

零日情報局作品

微信公眾號：lingriqingbaoju

如需轉載，請後臺留言

歡迎分享朋友圈

參考資料：

[1] KrebsOnSecurity《誰在“重新開放”域名激增的背後？》

[2] 安全牛《欺詐性域名如何偽裝自己》