追踪恶意动态DNS域名

来源：https://umbrella.cisco.com/blog/on-the-trail-of-malicious-dynamic-dns-domains

动态DNS是一项有用的技术，它允许域名指向托管在不断变化的公共IP地址上的Internet资源。考虑一个拥有动态IP的个人或小型企业，需要通过域名(例如网站、FTP服务器、邮件服务器、游戏室、网络摄像头监控等)向外界公开宣传一致的内容或服务。这就是动态DNS的作用所在。通常，这些客户使用ISP分配给他们的IP，每次他们的IP更改时，他们通知他们的动态DNS提供商更新其名称服务器，以便客户的域现在指向新的IP。通知通过安装在客户路由器/计算机上的客户端软件或HTTP restful API发生。OpenDNS的DNSOMATIC就是这样一个客户端软件。

不幸的是，动态DNS的便利并没有被不法分子所忽视，他们滥用免费的动态DNS来执行各种攻击，如大规模的恶意攻击和有针对性的鱼叉式网络钓鱼，这两者都导致了驱动下载，并使用它来进行僵尸网络C&C。对于攻击者来说，使用动态DNS是另一种针对IP黑名单的敏捷规避技术。它还允许他们从不断变化的主机ip传送恶意的有效负载，无论是感染个人电脑还是危害公共网站。为了规避域名黑名单，攻击者还可以使用动态DNS域名下随机生成的一次性子域名指向重定向链的下一跳或恶意软件的最终托管IP。这似乎类似于fast flux，尽管从定义的角度来看它们是不同的。动态DNS，假设动态IP落在ISP(1或几个asn)的IP范围内，而使用fast flux，域将指向散布在多个asn和多个地理位置上的不同IP的数目增加。从理论上讲，对于动态DNS，动态DNS域的权威名称服务器在物理上属于动态DNS提供者，而通过fast flux，可以使名称服务器指向位于不同asn和国家的物理主机的ip不断变化。在实践中，动态DNS域映射到的IP要比fast flux小得多。

在这个博客中，我们讨论动态DNS域和恶意软件之间的关系，通过挖掘我们的大型DNS数据集。这也可以为如何解决恶意动态DNS域的问题提供一些视角。

一、动态DNS分析

有很多动态DNS提供商，有免费的，也有收费的。这里有一个很好的列表（https://dnslookup.me/dynamic-dns/）。

动态DNS提供商为用户提供注册域(2LDs)或预定义域(2LDs)下的子域(3LDs)的功能。例如，changeIP.com有一个155个域名的列表，在这个列表下用户可以自由注册他选择的任何子域名(如果它是可用的)。例如，他们有1dumb.com和2waky.com作为预注册域名，用户可以注册主机名johndoe.1dumb.com或myhomebusiness.2waky.com。changeIP还提供用户在以下顶级域名下注册域名.com、.net、.info、.org、.biz或.us。后一种选择需要每年缴纳注册费。其他供应商也提供类似的服务，如no-ip.com、afraid.org、Dyn.com(以前称为DynDNS)等。攻击者的常见做法是滥用空闲子域。

对于这项研究，我们感兴趣的是评估动态DNS域名的数量，我们每天看到的权威DNS流量和恶意域名的百分比，并找出哪些子域名是最经常被滥用的。

首先，我们收集了一个已知的恶意动态DNS域名样本，然后，我们编制了一个由一些动态DNS提供商提供的已知预注册域名列表。对于恶意样本，使用最多的动态DNS提供商是sitelutions.com、noip.com、changeip.com和dnsdynamic.org。对于一般列表，我们选择已知的动态DNS提供商，如:changeip.com, dnsdynamic.org, noip.com, freedns.afraid.org, dyndns.com, sitelutions.com和3322.org。这些示例并不详尽，因为有更多的动态DNS提供商(其中更多被滥用)。一些动态DNS提供商不仅提供动态DNS服务，还充当常规的域名注册商，因此，在动态DNS提供商处注册并使用其名称服务器的域名不一定使用动态DNS服务。然而，我们认为这些样本对于分析来说是足够有代表性的。

接下来，我们解析两个示例中所有域的NS(名称服务器)。此名称服务器列表将用于过滤每日日志，以使用动态DNS识别域。这里的逻辑是，如果我们已经知道一组动态DNS域，我们就可以识别它们的名称服务器，并且任何使用后一组名称服务器的新域都将被假定为动态DNS域。一般列表中的名称服务器给出了动态DNS域名在每日流量中所占百分比的趋势，而恶意样本中的名称服务器提供了动态DNS流量最有可能是恶意的想法。与恶意动态DNS域名样本关联的名称服务器有:ns[1-3].changeip.org, ns[1-5].changeip.com, ns[1,2].dnsdynamic.org, nf[1-5].no-ip.com, ns[1-5].sitelutions.com。

下一步，我们从伦敦、阿什伯恩和新加坡的三个解析器收集权威DNS日志样本，在那里我们有每个域名的相关权威名称服务器。对于每一天，我们收集了一个样本的1,518,782个域名的平均名称服务器数据。我们收集一周的日志，然后每天，我们确定那些域名服务器属于动态DNS提供商的名称服务器列表。

最后，我们将识别出的动态DNS域与我们的黑名单(不断更新新数据)进行比较，结果如下图所示。为了便于讨论，我们称sortecielo.2waky.com为主机名，或子域名或3LD，称2waky.com为域名或2LD。从图中可以看出，在样本DNS权威流量中，每天观察到的动态DNS主机名有3万多个，对应域名有3000多个。在同一时期，从相同的日常域集中，我们每天识别1400多个恶意主机名和200多个相关域。这就给出了域及其“子”子域之间关联密度的概念。

二、滥用动态DNS域名

在下面的表格中，我们显示了一周内观察到的前20个每天流量的域名，以及同期内用于恶意目的的前20个域名。域旁边的计数表示该域下主机名的数量。例如，第一天，disqus有18,294个主机名，其形式为subdomain.disqus.com。

在下一个表中，我们并排显示了一天内流量中排名前20的动态DNS域名以及那些具有恶意主机名的域名。我们用红色表示的是那些在每日DNS流量中出现在顶级恶意域名和顶级流行域名的域名，即no-ip.org, no-ip.biz, no-ip.info, hopto.org, dlinkddns.com, myftp.org, myvnc.com, myftp.biz和us.to。值得注意的是，一些通常用于合法用途的流行动态DNS域也被用于恶意目的。这使得封锁整个域名有点棘手，因为这将剥夺许多合法内容的可见性。请注意，动态DNS提供商no-ip.com是用于合法和恶意目的的最常用的提供商。域名no-ip.org、no-ip.biz、no-ip.info、hopto.org、myftp.org、myvnc.com和myftp.biz都使用no-ip名称服务器。右上角的恶意域名表在本博客的最后以图表的形式展示。

[左为一般流量前20名域名，右为恶意流量前20名域名]

在下一个表中，我们显示了每个域下恶意使用主机名的百分比。例如，在hopto.org上56.71%的3LDs是恶意的。显然，一些域名被大量用于恶意目的。

下面，我们展示了一个说明性的图，显示了从一天内检测到的恶意动态DNS域名列表中获取的主机名到域名的映射。左上角连接到的最大的组件是域名hopto.org，该域名与245个恶意3LDs相关联，如spilak.hopto.org, arasispodmoonf.hopto.org, 1n12.hopto.org等。在hopto.org的右边是no-ip.org的集群，有125个恶意的3LDs，而右边的no-ip.info有103个主机名等等。

我们进一步在hopto.org下取了主机名的样本，我们确定它们被用来为Fragus攻击套件、Best Pack攻击套件、Incognito攻击套件、Java和PDF攻击套件提供url，导致木马假AVs下载。他们为W32/Dorkbot-EK, Rogue:Win32/Winwebsec, Trojan-Ransom.Win32.Mbro.ysw,IRC僵尸网络用作CnC，也提供钓鱼网址。在另一个示例中，我们观察到恶意动态DNS域与Blackhole exploit kit、Neosploit exploit、PDF exploit以及其他导致流氓反病毒、木马、后门SDBot等的exploit大量关联。需要指出的是，很难追溯以subdomain.[predefined domain].tld形式存在的动态DNS域的注册信息，因为whois信息只记录该域(the 2LD)的注册信息。