攻击者利用Emotet冒充McAfee从域名停放中获利(下)为闲置域名网站系统自动生成。是一种利用您的域名解析到一个广告页面,并利用该域名的访问者对该页面的访问次数或对该广告页面的点击次数来获取广告收入的一种方式。国外也称之为WIKI技术之一。一般是提供域名停放服务的网络服务商。它会做一个网站程序页面,让你把需要停放的域名解析到它的IP上。域名在此广告页面的顶部显示您的域名。如果有人访问后点击广告,您将获得相应的收益分成。因此,一些域名投资者会停放域名,利用闲置或待售的域名来达到赚钱的目的。停车网页一般含有广告链接,广告商为访问者的点击付费。每次点击费用一般在几毛钱到几元不等,站长可以从中分享收益。通常,研究人员通过搜索引擎或其他方式访问某个页面时,会发现不同域名的页面是相似的,但实际上,不同的人在同一个域名停放服务商处停放了域名。这种收益方式没有风险,简单有效。域名停放类似于加入广告网络,但比广告网络更加简洁方便。域名拥有者甚至不需要提供网站内容,一切都委托给域名停放服务商。只保留域名所有权,无需维护。当然,加入域名停放,推广这个域名也可能带来更多的流量,提供停放收入。这就需要域名所有者衡量投入产出比。乍一看,停放域名似乎对网络无害,但根据跟踪分析,停放域名对网络安全构成重大威胁,因为它们可以随时将访问者重定向到恶意或不需要的站点。需要它或变得完全恶意的着陆页。PaloAltoNetworks的研究人员已连续九年跟踪和分析停放域,从2020年3月到2020年9月,研究人员确定了500万个新域名。在同一时间段内,研究人员观察到600万个托管域已转移到其他类别。在转移的托管域中,1.0%被更改为恶意类别(例如网络钓鱼或恶意软件);2.6%被更改为不安全的网站,例如成人或赌博;和30.6%被更改为可疑类别(例如可疑或高风险),与良性域(例如计算机和互联网信息或购物。在本文中,研究人员将进一步研究域名停放生态系统并概述不同类型的滥用行为,包括:1.域名注册滥用作为全球Emotet活动的一部分,研究人员发现了valleymedicalandsurgicalclinic[.]com的恶意生命周期,不过恶意攻击不再活跃。Emotet是一种具有全球影响力的恶意软件,于2014年作为银行木马出现。自今年7月以来,研究人员在全球多个国家(包括美国、英国、加拿大、奥地利、德国、巴西、意大利、西班牙等)记录了至少80万条与该恶意软件相关的垃圾邮件。Emotet已经从一个银行木马逐渐发展成为一个成熟的僵尸网络。美国网络安全和基础设施安全局(CISA)在1月份发布有关僵尸网络的警告时指出,Emotet仍然是影响某些地区政府的成本最高、最具破坏性的工具。最危险的恶意软件之一。其蠕虫特性使其感染网络中的其他机器并迅速传播。如上所述,PaloAltoNetworks观察到针对全球各个行业(如教育、政府、能源、制造、建筑和电信)组织的攻击,包括美国、英国、法国、日本、韩国、和意大利。该组织的攻击还利用了COVID-19主题,攻击者使用Covid19作为钓鱼邮件的主题,尽管这些攻击没有成功。2.广告滥用研究人员观察到攻击者滥用与当前美国总统大选相关的Peoplesvote[.]uk域。在访问Peoplesvote[.]uk时,大多数时候用户会看到一个广告列表页面。但有时,用户首先会被重定向到托管漏洞利用工具包脚本的0redira[.]com/jr.php,然后再被重定向到一个调查站点,询问他们对乔·或唐纳德·的投票偏好。托管在0redira[.]com/jr.php的漏洞利用工具包脚本会默默地对浏览器进行指纹识别以跟踪用户的网络活动并隐藏登陆URL以防止安全公司和研究人员利用它们进行分析和阻止。值得注意的是,截至撰写本文时,这些页面仍处于活动状态。此外,研究人员观察到一个域名xifinity[.]com,它模仿xfinity[.]com。当用户尝试访问Xfinity网站但无意中输入了额外的“i”时,他们将被重定向到xifinity[.]com,并被重定向到一个滥用登录页面,antivirus-protection[.]com-123[.]xyz。在撰写本文时,这两个域都处于活动状态。登录页面试图诱使用户认为他们的计算机已被感染并且他们的McAfee订阅已过期。当用户单击“继续”按钮并将用户重定向到提供防病毒订阅的合法McAfee下载页面时,研究人员认为攻击者正在滥用McAfee的会员计划来窃取广告收入。因此,企业最好的安全最佳做法是密切跟踪托管域名,而消费者应确保输入的域名正确无误,并在进入任何网站前仔细检查域名所有者是否可信。PaloAltoNetworks的下一代防火墙客户可以使用URL过滤和DNS安全订阅来阻止停放类别。域名停放原则个人和企业需要向注册商(ICANN认可的域名经销商)缴纳年费购买域名,成为域名所有者。如果域所有者没有准备好将其域指向的内容或服务,则可以使用停放服务从用户流量中获利。设置停放服务就像要求域所有者将他们的名称服务器(NS)记录指向停放服务一样简单。作为回报,停车服务将向访问者显示广告列表,或自动将用户重定向到广告商的网页。在第一种情况下,域所有者和停车服务会在用户点击广告时获得报酬,而在第二种情况下,他们会在每次用户访问时获得报酬。一些域所有者购买大量域作为投资,以便日后转售以获取利润或通过用户流量获利。正如之前的研究和本文所示,托管域可能对最终用户构成重大威胁。因此,除了其可疑的实用性外,最好阻止被阻止的域。PaloAltoNetworks部署了全面的渠道来跟踪新停放的域并将检测结果发布到URL过滤。最近,研究人员还激活了DNSSecurity中的停车类别。研究人员的频道具有以下功能:监控已知的停车服务提供商及其基础设施。跟踪域注册和被动DNS查询,并执行反向DNS查找。获取网站内容。利用机器学习结合多个特征来分类域是否已停放。在下一篇文章中,我们将仔细研究域名注册滥用、广告滥用和停车服务滥用。本文翻译自:https://unit42.paloaltonetworks.com/domain-parking/
