域名成犯罪工具?域名滥用犯罪呈上升趋势

分享到：

发布时间：2012-12-31 14:19:19

对于合法网站来说,域名是其在网络空间的身份证。在犯罪世界中,域名是控制僵尸网络和进行网络钓鱼活动的一个重要组成部分。为了获域名,这些网络犯罪分子开始在全球别有用心的与一些域名注册机构进行串通。

犯罪分子目前正在利用虚假信息、用偷来的信用卡或诸如eGold等难以跟踪的电子货币支付、侵入合法域名帐户等手段注册收集大量的域名。域名滥用中的另一个问题是一些不负责任的注册机构受到金钱利益的驱使,为这些不法行为大开绿灯。

Go Daddy网络除弊总监Ben Butler称:“这绝对是一个大问题。”Go Daddy是一家总部位于亚利桑那州,由互联网名称和号码分配机构(ICANN)授权的域名注册机构,其可以出售后缀为.com、.aero、.info、.name和.net通用顶级域名(gTLD)。

Go Daddy为大约600万名客户管理着大约3600万个域名,其也因此成为了全球最大的域名注册机构。Butler称,一直以来,他们都在昼夜不停的与域名滥用进行着斗争。如果他们确定这些域名有着险恶用心,他们将毫不客气的删除这些域名。

在临时性处理过程中,恶意域名会被重新指向一个无法解析只会发送报错信息的服务器。这种处理方式是替代直接删除域名的最佳方式,因为处理人员不可能总能搞明白恶意域名的所有者。Butler称:“我们每周都会调查上千个关于域名的投诉。每周我们也会暂停数百个域名。”

尽管如此,犯罪分子在网上依然十分猖獗。其中部分原因是,注册服务高度自动化,而且认证程序并不完善。此外,犯罪分子也极为狡猾,善于钻技术漏洞。

美国网络安全公司ScanSafe研究员Mary Landesman在上月指出,有证据显示少数Go Daddy核发的域名被用于三起由僵尸网络控制发起的,针对印度、美国、中国三国网站的大规模SQL注入攻击。

Landesman称,最大的问题并不是关于Go Daddy,因为其在与域名滥用斗争中有着良好的声誉。问题是整个域名注册系统,以及存有注册者信息的whois数据库带有缺陷,其中包含有虚假信息,甚至是纯粹的编造信息。

Landesman表示,这类的滥用并不是故意设计出来的,但是它的工作方式却让犯罪分子有空可钻。她称对域名注册程序的有效改革将对网络犯罪带来致使打击。

域名申请

SecureWorks公司研究员Joe Stewart称,目前发送垃圾邮件的僵尸网络、网络钓鱼、拒绝服务攻击都依赖于域名,因为域名在犯罪分子的控制中相对“稳定”。他称:“当它们被激活后,这些攻击方式都会寻找新的IP地址。”

Imperva公司首席技术官Amichai Shulman称:“应当防止这些攻击可以轻松的使用IP地址,未来的扼制网络犯罪的趋势是对服务器进行更为详细的设置。”

赛门铁克公司全球智能网络总监Dean Turner指出,许多人指出犯罪分子能够灵活的运用他们掌握的“fast flux”技术通过让数千个IP地址使用一个或一组域名来运作僵尸网络。他解释称:“这种方式是为了欺骗IP黑名单。”

全球入侵防护和风险管理解决方案的领先供应商迈克菲风险管理总监Sam Masiello称:“域名使用起来非常方便。犯罪分子会使用fast flux技术进行内容传输。”

五月份公布的一份报告高度关注了关于域名在网络钓鱼犯罪中所扮演的角色。反钓鱼工作组的报告名为《全球网络钓鱼观察:2008年下半年域名使用与趋势》。报告称,犯罪分子在2008年下半年共使用了3.0454万个域名发动了5.6959万起钓鱼攻击。

报告称:“在这些数字中,我们确认了5591起钓鱼攻击。这些恶意域名在涉及钓鱼攻击的域名中占18.5%。剩下的域名属于无辜的网站拥有者,这些域名遇到了黑客的窃取。”

报告强调称,相对于域名钓鱼攻击而言,基于唯一IP地址的钓鱼攻击已经开始持续稳定的下降,数量由2007年上半年的6336起下降到2008年下半年的2809起。

报告中所提到的另一个趋势是钓鱼攻击者开始使用一种所谓的“次域名注册服务”。在这种服务中,提供商在自己拥有的域名下向客户提供次主域名“寄存帐户”。报告称,这种方式仅能由次域名提供者自己移除,而且部分服务提供商对于投诉反应迟钝。

这又将问题引到了另一个层面,特别是ICANN。在与注册机构联系和由ICANN主导的域名世界之外,ICANN基本上没有任何权力。

次域名目前占了所有涉及钓鱼攻击域名比例的12%。在大约360个次域名注册服务提供商中,俄罗斯的免费邮件服务提供商Pochta.ru和法国寄存服务提供商Wistee.fr为最糟糕的提供商。不过,报告称.com域依然是钓鱼者所喜欢的最大一个顶级域名。该域名占了同期被监视的钓鱼域名的46%。

ICANN的回应

由ICANN授权的.com和.ne域名注册机构VeriSign拒绝讨论顶级域名被滥用的现象。ICANN承认域名被犯罪分子滥用,其也正在完善规定。目前ICANN在该领域内的权力还有许多不明确的地方。

Marina Del Ray公司的合同遵从总监Stacy Burnette称:“关于域名滥用的犯罪活动目前已经引起了ICANN的高度关注。这些犯罪活动已经危险到了整个体系。”

Whois数据库的缺陷仅仅是冰山一角。ICANN每年都会得到上千份对注册机构的投诉,其主要涉及到在Whois数据库中可以被察觉到的不足或错误信息。ICANN必须对这些信息进行全部评估,然后与注册机构进行联系并及时补救已经确认的缺陷。

在今天这一问题发展为网络犯罪分子滥用域名之后,我们发现ICANN并没有执法权。Burnette指出:“ICANN仅仅是一个非盈利性组织,我们没有管理权和执法权。”

在今年三月份,ICANN已经召开过一个会议,通过名称支持组织下属的注册滥用政策工作组也出席了在墨西哥召开的会议。会议各方讨论了扼制域名滥用和注册滥用的政策与指导原则。

一直致力于解决这一问题的ICANN高级技术专家Dave Piscitello表示,ICANN计划在十月份提出一个提案,为强化安全提供新的指导。

尽管无权向外界透露提案的具体细节,但是Piscitello指出,在ICANN董事会通过这一提案前,提案将交由整个ICANN社区进行审议。他称:“我们已经注意到了注册问题和恶意操作。不过我们不认为所有的人都会被这视为滥用域名服务器(DNS)。”
ICANN社区极为广泛,其包括一些拥有可以决定国家顶级域名(ccTLD)的国家。Piscitello称:“我们可以拿gTLD说事,但是我们只有与所有的国家合作才能解决这一问题。”

与此同时,ICANN委员会在上个月公布了一份154页的报告,报告以fast flux技术和域名被犯罪分子滥用为主题。报告中,ICANN强调他们将领导组织机构考虑防注册滥用规定通过授权注册/注册机构抢占恶意域名或非法fast flux以解决fast flux问题。

Piscitello表示,对于如果处理这一问题还没有达成一致意见。探测犯罪性fast flux的方式十分的可靠,但是目前的问题是万一出现探测失误,那否应当有人为此负责。

如今域名已经成为了网络犯罪分子的犯罪工具。不过,Piscitello表示:“DNS社区的目标之一就是将这些犯罪工具从犯罪分子的工具箱中拿走。”