就像所有城市一樣,網際網路也有一些頻繁發生可疑活動的地區,比如垃圾郵件、網路詐騙、有潛在威脅的軟體、惡意軟體、殭屍網路、網路釣魚等。
企業安全公司Blue Coat System定期分析來自1萬5千家企業和7500萬使用者的Web請求,跟蹤網際網路上的可疑活動。該公司在上個月釋出了與惡意網站有所聯絡的十大頂級域名。
主流的頂級域名以前有在過去的幾年中數量激增,從.com、.net和.org擴充套件出了更多種類。新興的頂級域通常會吸引大量威脅源,因為使用它們進行註冊的成本比起著名的頂級域名要低得多。
Blue Coat建議組織採取措施進行防護,比如遮蔽高風險頂級域名,或者在使用者連線到託管在這些頂級域名上的網站時發出警告。Blue Coat還建議使用者在不確定目標連結的具體地址時將游標移到超連結物件上,檢視目標的具體地址。如果使用移動裝置,可以透過點選並長按執行相同的操作。
以下是十大最可疑的頂級域名:
1 .zip
這份名單的內容變化很快。.zip域名在Blue Coat於九月份釋出報告時還高居榜首,但其排位之後大幅下滑。Blue Coat公司惡意軟體研究小組負責人克里斯·拉爾森指出,讓.zip高居榜首的原因在於它其實僅有一個活躍域nic.zip,ta是Google的預註冊頁面,會將使用者中繼到google.com下屬的一個頁面,其中介紹了他們新的頂級域名。
拉爾森說:“來自.zip的URL的確出現在了我們的流量日誌中,根據公司的WebPulse系統記錄,每天我們的客戶都會發出10億匿名訪問Web的請求。如果你仔細研究,記錄中的大多數都是檔名,而不是URL,但它們最終肯定是以某種方式作為URL出現在了某人的瀏覽器上,並且被判定成了可疑連結。”
大多數請求都是看上去很搞笑的URL,它們並不能解析,因此被標記為可疑。但拉爾森補充稱很多客戶僱傭的安全公司都發現.zip域名和Cryptowall、MiniDionis和CozyBear等惡意軟體家族間存在聯絡。
2 .review
儘管.zip從第一的位置上跌落,頂級域名.review仍穩坐全網第二大可疑域名。拉爾森解釋稱這主要是由於它託管的詐騙網站。
“只要看一看域列表,你就會發現前15個都是詐騙網站,其中至少12個都與中國某保健品詐騙網站同屬一個家族。.review可能並沒有對驅逐壞人們作出任何努力。”
3 .country
頂級域名.country最近已經在Blue Coat公司的排名中獲得了第一,但在報告9月份釋出時它還位居第三。
“.country並不像是.click、.link和.rock這些頂級域名,為了弄清它究竟託管了多少惡意網站,我開始時檢視了公司的日誌。我發現所有近期註冊的.country域名都是可疑的。因此如果你想在Web閘道器上完全遮蔽該域名,我不會怪你。如果有心情的話,你還可以遮蔽.click域名,儘管它並沒有像.country這麼糟糕。”
該頂級域名似乎已經完全成為了以有獎遊戲/調查為名進行釣魚的詐騙網站殖民地。拉爾森提示,Blue Coat沒有直接發現任何與此網路相關的惡意軟體,但有些它的配套廣告網路與可疑軟體存在密切聯絡。
4 .kim
.kim頂級域名在Blue Coat報告中排位第四。但拉爾森提示稱.kim和.xyz(並不屬於排名前十)的域名註冊商都已經聯絡了Blue Coat公司,以消除他們頂級域名下的一些可疑活動。
“我們在最近的流量中發現了改變。他們做得更好了,這理應得到稱讚。”
該頂級域名確實託管了一些合法的域,最著名的是韓國的某科技部落格和土耳其的幾家網站(Kim在土耳其語裡是“誰”的意思)。但該域名與可疑軟體和詐騙網站間存在聯絡,而且至少有一個域上託管了域名生成演算法,該演算法能夠生成可被惡意軟體利用的域名。因此,.kim理應榜上有名。
5 .cricket
.cricket取名自世界上第二大流行的運動:板球。該頂級域名被列為全網第五大可疑頂級域名。
拉爾森指出,儘管它也託管了一些合法網站,但其中存在大量搜尋引擎毒化的例項。例如,StarWarsMovie.cricket從其它地方拉來了大量星球大戰相關周邊的圖片,以獲取流量,其中有些圖片顯然就是從其它地方盜取的。如果在頁面上點選,將跳轉到銷售藍光《星球大戰第六部:絕地歸來》的網站。
6 .science
第六大可疑頂級域名很大程度上成了其營銷策略的犧牲品。為了提升頂級域名的名氣,域名註冊商曾免費開放.science域的註冊。
“他們以低價傾銷,基本可以肯定會遇上麻煩。如果花一塊錢就能註冊一個域名,壞人將蜂擁而至。”
拉爾森說,相比可疑軟體和詐騙,.science域和sao'rao的關係最緊密。他指出,可疑活動包括一個大型電子書網站,它的下載頁面曾存在可疑軟體活動。另一個網站則銷售定製的學術論文。
7 .work
頂級域名.work看上去和騷擾及詐騙離得更近,離惡意軟體比較遠。然而拉爾森的小組找到了一些指向可疑軟體分發網路的嘗試性連結。拉爾森指出,雖然存在一些合法網站,它仍舊值得遮蔽。舉例而言,它託管了一家土耳其色情網站和巴基斯坦的一家影片剪輯網站,這兩個網站極其相似。
8 .party
.party位列第八。這裡的很多網站乍一看都是合法的。比如排名第一位的FashionOnly.party,頁面上展示了女性婚紗禮服和休閒服裝。
拉爾森說:“有一些小黃旗,這些圖片都有點爛,所有都像是從原格式轉換出來的。很多照片的背景中都有其他網站的水印。這是一個沒有意義的網站。在評論中也沒有任何內容”
這些都是搜尋引擎毒化的標誌。該頂級域名還託管了一大堆MP3網站,它們有可能是盜版或者惡意軟體傳播平臺。另有一家網站託管了可疑的tracker。
9 .gq
.gq是赤道幾內亞的國家程式碼。Blue Coat的報告公佈以來,.gq已經滑出前10位。但拉爾森指出,它在許多方面能夠獲得終身成就獎。
“如果翻看資料庫中所有與.gq相關的評分,超過7500條的的評價中有99%是可疑的。”
Blue Coat報告中稱,大多數對.gq的濫用都屬於搜尋引擎毒化,一大部分作為Cookie擷取器的可疑影片都和惡意軟體相關。它還託管了一些自稱“震撼影片”的騷擾/詐騙網站,以及少量的其它惡意軟體、釣魚和色情網站。
10 .link
.link是Blue Coat名單的最後一位。該頂級域名充斥著色情內容分發網路和盜版網站,但這都不是Blue Coat標記為可疑的物件。有一家日本網站專門提供關於橄欖球的體育內容,另一家網站則轉發美國一些廣播電臺的新聞內容。但在這些合法域之外還存在很多詐騙網站。
“根據歷史來看,這是一個滋生騷擾網站的頂級域。”拉爾森說。
人名與術語
克里斯·拉爾森(Chris Larsen)
頂級域名(Top Level Domain,TLD)
域名生成演算法(Domain Generation Algorithm,DGA)
搜尋引擎毒化(Search Engine Poisoning)