域名是僵尸网络和钓鱼操作的关键部分,网络犯罪分子正在世界各地掠夺域名注册商来获取域名。
对于合法的业务,域名是挂在网络空间中的瓦片的方法。在犯罪世界中,域名是一个关键部分僵尸网络网络钓鱼和网络犯罪正在掠夺世界各地的域名注册商来获取域名。
犯罪分子通过使用虚假信息注册域名、用偷来的信用卡或难以追踪的方式来积累域名像Egold这样的数字货币,并闯入合法的域名帐户。要添加到域名滥用问题的问题,一些流氓注册商通常看起来像金钱滚动一样。
“There’s absolutely a big problem,” says Ben Butler, director of network abuse at Go Daddy, an Arizona-based domain-name registrar that’s authorized by the Internet Corporation for Assigned Names and Numbers and the appropriate ICANN-accredited registries to sell domain names based on the generic top-level domains (gTLD) that include .com, .aero, .info, .name and .net.
Go Daddy有3600万个域名在管理层,超过600万客户,使其成为全球最大的注册商之一。它争夺一个圆形的战斗来识别域名滥用,如果确定用于有害目的的域名,则爸爸将基本上是“杀死域名”,“巴特勒说。(见相关的故事,“注册商如何处理域名滥用”)
在挂起过程中,恶意域被重定向到未解析的服务器,该服务器将发送错误消息。这是首选流程,而不是直接取消,因为并不总是清楚谁是恶意域的所有者。巴特勒说:“我们每周调查数以千计的域名投诉。”“我们每周会暂停数百个域名。”
尽管做了这些努力,犯罪分子还是能逃过网络,部分原因是注册服务高度自动化,验证过程不够充分,而且犯罪分子非常谨慎、果断,而且精通技术。
ScanSafe研究员Mary Landesman上个月表示发现了证据在针对印度、美国和中国网站的三次不同的僵尸网络控制的SQL注入攻击中,少数Go Daddy域名被外包出去使用。
Landesman说,较大的问题并不是关于去爸爸的战斗域名滥用声誉。相反,问题包含整个域名注册系统,以及包含假数据的注册人信息(ICANN监督)的故障Whois数据库,甚至是Gibberish。
兰德斯曼指出:“这不是故意为这种虐待设计的,但它对罪犯有利。”她说,域名注册程序的有效改革将打击网络犯罪的核心。
域名的吸引力
罪犯策划者僵尸网络亚特兰大SecureWorks的研究员Joe Stewart说,垃圾邮件、网络钓鱼和拒绝服务攻击都依赖于域名,因为域名给了他们控制的“稳定性”。“当新的IP地址出现时,所有的机器人都能映射到它。”
“使用IP地址将很方便,”Amichai Shulman,Imperva,因为这将倾向于将罪犯限制为更具体的服务器。
赛门铁克全球情报网络总监迪安•特纳(Dean Turner)表示,许多人注意到,如今的犯罪分子可以聪明地利用所谓的“快速通量”,让僵尸网络“使用一个或一组域名,通过数千个IP地址”旋转。“它被设计用来击败IP黑名单。”
“域名很容易移植,”McAfee的威胁管理主管Sam Masiello说。“他们使用快速流量来进行内容传递。”
五月份发布的一份报告强调了域名在网络钓鱼犯罪中的作用。反钓鱼工作组的报告《全球钓鱼调查:2008年下半年域名使用趋势》显示,在这段时间内,共有56,959次钓鱼攻击发生在30,454个域名上。
报告说,在这个数字中,“我们确认了5591个我们认为是钓鱼者注册的。”“这些‘恶意’域名约占网络钓鱼域名总数的18.5%。”实际上其余的域名都属于无辜的网站所有者。”
报告指出,基于独特IP地址而不是域名的钓鱼方式数量正在稳步下降,从2007年上半年的6336个,到去年下半年的2809个独特IP地址。
根据该报告的另一个趋势,是通过提供者提供所谓的“子域注册服务”,通过提供者使用所谓的“子域注册服务”,该提供商在提供者拥有的域名下给客户子域“托管帐户”。报告称,这种练习只能由子域提供者本身减轻,“其中一些服务对投诉无响应,”报告说。
这就把问题带到了另一个层面,尤其是对ICANN来说,除了与ICANN驱动的域名世界中的注册商和注册商的直接合同关系外,它没有明显的权威。
目前,子域名约占所有涉及钓鱼的域名的12%,俄罗斯免费电子邮件提供商Pochta.ru和法国主机托管提供商Wistee.fr被认为是360个子域名注册提供商中最糟糕的。然而,报告指出,。com域名仍然是最受钓鱼者青睐的单一域名,占同期监测的钓鱼域名的46%。
ICANN的反应
VeriSign是.com和.NET的权威ICANN认可的注册表,拒绝讨论域名滥用的主题。ICANN认识到刑事黑制罪名滥用问题,但其政策仍在发展,有很多关于ICANN在这一领域的权威的不确定性。
“涉及域名滥用域名的犯罪活动是ICANN的巨大关注点,”加利福尼亚州滨海德雷雷雷雷德拉德合同符合规律总监Stacy Burnette表示,基于组织的合同遵从主管。“它扰乱了系统。”
从Whois数据库的不规范情况中可以看出冰山一角。ICANN每年收到成千上万份关于登记机构的投诉,其中许多与Whois数据库中明显存在的不足或错误信息有关。ICANN必须审查所有这些文件,然后联系注册人,报告并纠正任何发现的错误。
但是,当涉及到更广泛的网络犯罪分子滥用域名的问题时,ICANN今天没有踢警察。“ICANN是一个非营利组织,我们不是一个监管机构或警察局,”伯德特指出。
但是ICANN已经召开了会议,包括3月份在墨西哥举行的“支持组织注册滥用政策的通用名称研讨会”,来讨论它可能想要拥抱的关于域名滥用和注册滥用的政策和指导方针。
ICANN负责这类问题的高级安全技术专家戴夫•皮斯特洛(Dave Piscitello)表示,ICANN计划在10月份提出一项建议,在ICANN提出之前,可能制定新的更严格的安全指导方针计划扩展新的通用顶级域名明年
虽然不能随意讨论具体细节,但他指出,这项提议必须经过整个ICANN社区的审查,并接受批评,然后才有机会被ICANN董事会采纳。
皮斯特洛表示:“我们将更多地关注注册问题和恶意行为。”“我认为没有人希望看到DNS被滥用。”
他指出,VeriSign最近提议为注册者和注册者增加强认证服务,实现双因素认证。皮斯特洛表示,ICANN肯定会考虑其他一些想法,比如要求对注册人进行审计。
但他指出,ICANN社区广泛,由对其国家代码顶级域(CCTLD)的国家来说比ICANN更多的国家。“我们可以使用GTLD设置一个例子,但只有各国政府的合作努力可以解决这个问题。”
同时,ICANN委员会上个月发布了154页报告论域名的快速流动和滥用犯罪问题。就像任何论文一样,它本身并不一定意味着改变,但ICANN指出,它可能会引导该组织“考虑注册滥用政策条款是否可以通过授权注册机构/注册商删除涉及恶意或非法快速域名流通的域名来解决快速域名流通问题。”
皮斯特洛说,到目前为止,在这个问题上该怎么做还没有达成共识。发现犯罪快速流动的检测方法是相当可靠的,但有人担心在假阳性情况下的责任。
域名可以是网络犯罪的一个方便的工具,“DNS社区的一个目标是将该工具从工具箱中取出,”他说。
做出改变
总部位于都柏林的注册服务提供商Afilias的首席技术官、ICANN安全与稳定咨询委员会(SSAC)董事会联络人拉姆•莫汉(Ram Mohan)表示,许多语言和司法法律问题使得解决域名滥用问题极其困难。
他的看法是ICANN,这对WHOIS数据库的全面负责登记信息,必须找到验证条目的方法。
“ICANN的一些规则被打破了,”莫汉说。整个域名注册系统是在互联网良性发展的时代建立起来的。今天,我们没有验证的负担,这是可以解决的。他还表示,对登记机构和注册机构进行某种形式的安全审计可能是明智之举。
一些怀疑ICANN真的有权威或充分警察它监管的系统。例如,STEPWORKS的Stewart认为,在每个国家的国家证书进行紧急响应和安全警告,应具有扩展以协调对网络犯罪的反应,例如域名滥用的角色。
莫山表示,他希望在ICANN继续下一年的计划之前进行一些改革,以建立一个整体新的顶级域集。莫汉说:“ICANN正在打开顶级域名的闸门。”如果不完善域名注册制度,滥用问题只会越来越严重。
事实证明,业界阻止非法获取域名的努力非常困难。第一次全球组织的尝试——Conficker工作组——试图这样做禁用Conficker Worm目标的域名用于指挥控制系统。但经过6个月的尝试,并没有多少收获。
“戴微软组织的帽子,”Neustar法律副总裁杰夫Neuman说。Neustar与其他人加入了衡量域名系统的其他人的Conficker工作组,包括浏览域名系统,包括VeriSign,Afilias,公开互联网注册中心,全球域名国际,ICANN和中国CNNIC,包括安全供应商赛门铁克。
但复杂的Conficker僵尸网络——目前在出售假冒杀毒软件的尝试之外相当平静——作为一个约450万台被破坏的电脑的命令和控制结构,仍然没有被削弱。
Conficker工作小组,尽管努力捆绑数百万预编Conficker使用的域名,但当僵尸网络的设计者转向cctld在今年早些时候版本的Conficker。
Conficker工作组并未能够在船上获得足够的CCTLD参与者,以有效地捆绑Conficker领域。“我们有90%的CCTLD参加,但10%不涉及,”赛门铁克的特纳说。
该公司X-Force产品经理丹•霍尔登(Dan Holden)表示:“这没有用。IBM的互联网安全系统部门。
微软已经提供了250000美元奖信息导致那些负责Conficker的逮捕和定罪,在一份声明中表示,Conficker工作组建立了“一个新的行业协作和合作水平”的快速反应的努力和防御方法,和,Conficker的调查仍在继续。
ICANN的Piscitello表示,Conficker工作组的重要性在于,它“表明,如果我们确实得到了重大合作,我们可以给罪犯施加一点痛苦,让它变得更困难。”它的成功在于建立了一种协作反应。”