恶意网站图谱
世界上最危险的域名恶意网站图谱1 ,由:芭芭拉·凯,国际信息系统安全认证协会信息 系统安全认证专业人员 ,安全设计集团保拉·格雷夫,McAfee Labs™研究中心主任目录
世界上最危险的域名
恶意网站图谱
1
,
由:
芭芭拉·凯,国际信息系统安全认证协会信息 系统安全认证专业人员 ,安全设计集团保拉·格雷夫,McAfee Labs™研究中心主任目录简介
主要发现: 恶意网站图谱 IV
为什么图谱很重要
犯罪分子如何滥用顶级域名
方法
关于定级的一些注意事项
分级明细
变化中的安全威胁
来自顶级域名注册商与运营商的评论
结论 346791112212326
,简介
致富之源还是僵尸网络? 下次当你搜索名人照片或“如何”提示时, 要特别注意顶级域名, 就是搜索结果中URL 的最后几个字母。在今年的恶意网站图谱研究中,迈克菲评估了2700万个现存网站,发现网站风险空前上升了6.2。如果用户在点击的时候不多加小心,简单地浏览一个网页都会付出大大出乎他们意料的代价。今年,有更多的网站出现恶意代码,这些代码能盗取密码与个人信息,利用浏览器漏洞或者私自安装程序,使电脑死机。
如果你事先知道在特定顶级域名中五分之三
的网站是有风险的,你就会重新选择一个地
址下载你想要的照片了。例如,尽管越南越
来越受到旅游者的青睐,在越南(.VN )注
册的网站却应该被列为禁飞区。 今年,.VN
进入了我们最危险顶级域名的前五名,据我
们跟踪,有58的网站包含恶意或潜在危险
内容和行为。
由McAfee ® Global Threat Intelligence™提供安全威胁评测。• 其他电脑上进行恶意行为(包括按键记录程序、盗取密码及僵尸工具包)• 漏洞插入恶意软件。• 息或者安装恶意代码的虚假网站。• 邮件或者垃圾邮件。
• -一些带链接的网站会连接到恶
意网站,还有的网站和其他网站有可疑
关系,例如非正当主机服务。广告软件/间谍软件/
木马/病毒 带.INFO 与.CM 顶级域名的
危险网站与安全网站数量差
不多,而带.VN 域名的网站中
危险的较多。
我们是根据每个网站的多个特征来决定其风险水平的。
恶意网站图谱 3
,恶意网站图谱IV
.INFO ;去年最具风险性的几个网站有了很大改
.SG )和委内瑞拉(.VE );以及一些新被关注的地.VN )、亚美尼亚(.AM )和波兰(.PL )。 • 31.3的加上升到2010年的 权风险使.COM (商用—最大流量的顶级
2008年,我们发现域名)成为最具风险的顶级域名。去年
的第一名.CM (喀麦隆)今年下降到第四色(慎用)。尽管我们在头两年采用了不位,而.INFO 从去年的第 五名上升到第二同的方法,走势图—向右向上—的趋势似名,成为了一个更具风险性的网站。五大乎一直保持。网站越来越难安全导航。风险注册比例最高的顶级域名分别是:
- .COM ( 商业广告 ) 31.3
- .INFO ( 信息 )
30.7
- .VN (越南) 29.4
- .CM (喀麦隆) 22.2
7- .AM (亚美尼亚) 12.1 6• 20个最危险的顶级域5名中,有7个来自欧洲,中东和非洲4(EMEA )地区,包括新进入前20榜单的亚美尼亚(.AM )和波兰(.PL )。亚3太地区以6个危险顶级域名位列第二,而2通用域名,如Network (.NET ),占了前
20中的5席。唯一进入前20的美国域名是
1United States(.US ),位于第14。0
7890000100002222
恶意网站图谱
4
• 相比,通用域名与赞助域名具有最高的平均风险。这些顶级域名以7.9的比例超出总体平均水平,而三个地区性域名的平均风险都低于6.2。亚太地区从去年的13下降到4.9;美国平均2.7; 欧洲、中东、非洲地区仅1.9。• .SG )从去年的第10下降到了今年的第81,成绩可嘉;委内瑞拉(.VE )从21下降到了今年的88;菲律宾(.PH )从2009年的第6下降至第25。 • 站数量达到或超过2000的顶级域名。但是,如果我们对所有顶级域名进行评估,两个网站数量较少的顶级域名会进入我们的前5名:
- 塞内加尔(.SN )将以33的风险比例位居第一,原因也许是它没有注册限制(http://en.wikipedia.org/wiki/.sn)。 - 英属印度洋领地(.IO )将位居第五,风险性为11.5。它之所以成为流行的顶级域名,是因为它没有第二级注册限制,限定可以出现在TLD 前的名字,因此可能被盗用:“.IO ”主要用于如eugen. io,moustach.io ,或pistacch.io 等域名分割中,也用于文件主机服务
(http://en.wikipedia.org/wiki/.io)。• 域名分别是(每个域名的危险网站数量都少于或等于0.1):- .TRAVEL (旅行和旅游行业) - .EDU (教育) - .JP (日本) - .GG (格恩西) .02 .05 .08 .09 .10- .CAT ( 加泰罗尼西亚语 ) 分级是基于总体评价,而不是对单独网页进行分级。用户应该知道在通常安全的域名下的单个URLs 中仍会存在风险;例如,我们在域名为.EDU (教育)的网站中就找到一些危险的URL 。• 2009年最安全的顶级域名Governmental (.GOV ),今年的风险性仍然仅为0.3,但排名下降到了第23位。我们把所有发现的危险网站都定级
为红色。
恶意网站图谱 5
,为什么图谱很重要
迈克菲带着三个不同的目的,针对三个不同的团体发布了恶意网站图谱报告:
• 对域名注册商和注册社区来说,我们想在
这份报告中感谢那些为减少欺诈性注册和
关闭恶意网站辛苦工作的人们;我们也希
望这份报告能鼓励其他人向那些采用合法
手段应对挑战的领导们学习。 其中一个
回报是风险的减少。过去,我们致力于为
注册商提供“最恶劣罪犯”名单,通过研
究得出风险数据。随后,我们在他们的顶
级域名中看到危险网站的数量有了显著减
少。
• 对网站所有者,我们希望该报告能在他们
决定其注册地址时提供帮助。• 对消费者和企业 IT 经理,我们希望报告能像一张现实支票,时刻提醒他们危险遍布整个网络,数量日益增多且越来越复杂,即使最有经验的用户都需要使用全面、及时更新且带有安全搜索功能的的安全软件。
恶意网站图谱 6
,犯罪分子如何滥用顶级域名
顶级域名是网络的组织者之一,一个网站的最后几个字母代码能告诉我们它是在哪里注册的。也许每个人都认识.COM 和 .GOV,但还有很多顶级域名(TLD )对许多人来说可能很陌生,例如.AM 代表亚美尼亚,.CM 代表喀麦隆。骗子就是从无知中获利的,而且许多消费者在搜索时从来不注意顶级域名的后缀。许多消费者都会点击第一个看上去有意思的结果,而犯罪分子有足够的时间为搜索引擎优化自己的网站, 这样消费者就掉入了骗子们的圈套。
访问某些顶级域名比访问另外的更危险。
诈骗分子和黑客常常出现在那些最方便进
行交易或能利用迷惑性的拼写和逻辑关联
骗取利益的地方。例如,由于在.COM 地址
中很容易落下“O ”字母,不法分子就会在
Cameroon (.CM ) 注册地址 www.mcafee.
cm ,希望能跳过那些担心安全问题的网民们的视线进行非法交易。例如,网站很有可能植入一个流氓反病毒程序,希望消费者认为这是一个警告: “你电脑中有病毒,请安装此软件。” 这种注册商辛苦防范的行为被称为“误植域名”。误植域名涉及各种各样的网站:如从用
户输入错误中获得广告收入的网站,向你推
销会窃取个人信息或安装恶意软件的成熟的
钓鱼网站地址的停泊网站等等。
最危险的软件(有时被称为“路过式软
件”)是用户看不见的,用户不必点击或有
意识地接受下载就有可能被感染或攻击。大
多数恶意软件和攻击都尽力不被监测到。消
费者可能数天或数周后仍未发现问题,而这
时候犯罪分子已经清空了其银行账户,盗取
了其在线游戏账户,传染网络“好友”,或
者为僵尸程序略过中央处理机周期。
同样地,普通用户并不知道 .COM 网站的主
机到底是在美国还是在中国。除非他们使用
评级咨询工具,否则访问者需要做一点额外
研究来决定一个网址适不适合访问。.VN 代
表的是越南还是委内瑞拉? 答案能使访问的
风险度有很大差别。
恶意网站图谱 7
,当好人在努力改善网络治安和注册监管1时,
犯罪分子正对灵活的软件与基础结构(见僵
尸工具栏)进行投资。在锁定一个顶级域名
后,他们会很快将他们的网站入口转移到包
容性更强、更灵活的主页,而不需要重新定
位服务器或者更改内容。顶级域名仅仅告诉我们网站是在哪里注册的。网站本身,包括其内容、服务器和主人可以在另外的地方。现在有种趋势是,犯罪分子把恶意内容放在免费的消费者文件分享服务中,然后在需要的时候将内容提供给顶级域名。由于存储在
BitT orrent 、YouTube 、RapidShare 等服务中的
文件时常改变,因此管理该内容很困难。
影响犯罪分子选择顶级域名的因素有:
•
便宜的注册,批量折扣以及慷慨的返还政
策。
• 问问题”的注册。骗子需要提供的信息越
少越好。同样地,骗子喜欢行动缓慢的注
册商,如果可以的话,甚至不要注意到危
险域名。
• 注册。尤其对于钓鱼者与垃圾邮件发送
者,因为他们特别需要大容量的网站来抵
消顶级域名管理者的快速记录。提防僵尸僵尸能够毁坏家用电脑与商用电脑。犯罪份子与其一起进行不同的攻击:垃圾邮件、钓鱼及盗取数据。僵尸网络是传播僵尸行为的组织,帮助僵尸程序所有者逃避雷达监视,避免被监视与管制,如被互联网服务提供商人员记录。他们以微不足道的费用为网络罪行获得商务级别的基础结构。除了廉价的运作费用,僵尸网络还帮助保护僵尸程序管理者的匿名
性。这一战略的成功也许可以解释McColo 记录的不同影响,2008年涌入大量垃圾邮件,2而2010年3月的宙斯僵尸网络记录仅持续了几个小时。3
1
迈克菲2010威胁预言,第9页,可登陆http://www.mcafee.com/us/threat_center/white_paper.html, 提供多种语言下载
2
3
,方法
今年我们用了同样的方法。和去年的报告一样, 此报告使用了迈克菲 全球安全智能数据库,其中的数据来自120多个国家的超过1.5亿个传感器。这些传感器包括个人电脑、网关网络设备、端点软件、云中托管服务,分别来自个人用户、中小型企业、企业用户、教育机构和政府机构。
我们的方法是通过分析网络流量模式、网站• 行为、主机内容及连接来定义风险级别。我跟踪任何邮件的容量并判断其是否是垃圾们评估单个网站,是看它是否存在恶意或危邮件。垃圾邮件是指含商业内容的邮件,险内容及行为,也分析所谓的网站环境—该并采用欺骗垃圾邮件过滤软件的手段。网站是怎样注册、推荐、使用及评估的。除此之外,迈克菲全球安全中心整合了来自• 其他病毒载体的现有信息,包括电子邮件流及弹出广告。浏览器攻击(也称“路过式量、网络入侵流量、 恶意软件分析,得出了下载”)可使消费者的电脑在没有经过同一个网站的综合声誉评分。
意甚至不知情的情况下被安装上病毒、按
键记录程序或间谍软件。我们还检查网站
的外部链接, 看它们是否会引导访问者去其
他被迈克菲定级为具有风险的网站。
• 者其他潜在有害程序。迈克菲不测试由
点对点 (P2P )、BT 种子分享程序或者像
iTunes 、Rhapsody 等内容平台提供的单独
文件。我们测试许多免费软件及共享软件
网站的文件,如RapidShare ;我们也测试
点对点及BT 种子客户端软件。用于免费
文件分享的相同服务也能帮助传播恶意软
件。
恶意网站图谱 9
,我们将那些包含恶意代码(例如木马、病毒
及间谍软件)或和危险文件、电子邮件、主
页和网络相关联的浏览器漏洞的网站定级为
红色。将黄色等级给那些在使用前给用户警
告的网站,它们之所以被视为危险,通常是
由于垃圾邮件、弹出广告或者与危险网站的
链接。几乎所有的顶级域名都包含被定为红色及黄色的网站。为了隐藏他们的活动, 罪犯每年都要开发更复
杂、更新颖的技术。例如今年,恶意僵尸网
站的类别又有了大幅增加,我们分析的其中
一类包括病毒、木马及僵尸网络。
不过,犯罪分子变狡猾了,我们也变得更聪
明。迈克菲有400多名研究人员致力于威胁
分析。这一全球团队不断研发新的方法探测
网络变化,分析来自这些传感器的数据,发
现表现出风险的行为和特征。每一次新的发
现都会返回我们的全球安全智能中心做更
精确的分析。因此,虽然我们采用的方法
和过去相同,我们却一直在持续改进我们的
技术, 以便对用户面临的真正风险做出准确的评价。
像以前一样,我们只对至少有2000个网站
被跟踪的顶级域名做分析。这份报告包括了
我们跟踪的271个顶级域名中的106个,比
2009年增加了2个。
我们的报告仅包括活跃域,即那些在调查时
仍活跃的域名: 27,304,797个。这个实时数
据是对我们获取数据当天顶级域名系统的状
态的客观写照。 风险变异是很自然的事,就像一项调查一周后会显示不同的结果。
我们不对该项研究定时或使用多个样本获得平均结果。此外,我们不宣布时间。通过采用随机、非预定的样本,我们可以确保整个过程都非常严格、正式。和去年的报告一样,风险定级为加权值: 50的分级产生于一个顶级域名的危险网站占全部网站的比重,还有50来自于顶级域名的危险网站占所有危险网站的比重。我们认为这种分级方法可以反映一个典型用户访问整个网络时的风险水平。也就是说,我们相信,如果一个用户知道整个网络50的危险网站都属于某个顶级域名,他/她一定不会再访问域名,即使那些危险网站仅占这个顶级域名所有网站的1。10,000个网站,其中100个是危险网站,而所有顶级域名下一共有200个危险网站,前面提到的这个顶级域名就占了100个 [(50*100/10,000) (50*100/200)= 25.5],它比起一个有100个网站,其中10个有风险的域名所占的风险大要得多 [(50*(10/100) (50*(10/200)=7.5]。这一方法意味着在少数例子中,比起一个总网站数少但危险网站比例高的顶级域名,一个具有很多危险网站(但由于这个域名下的网站总数较多,导致危险网站比例下降)的顶级域名风险等级会更高。1550万.COM (商用)域名下6.1的网站是危险的,低于我们的总体平均水平 6.2。然而,当我们根据全世界危险网站总数来衡量.COM 的风险时,它的比重就上升到了31.3,成为了最危险的顶级域名。相比之下,我们评估的24,988个.VN (越南)域名的网站有58是危险的,但它在全球危险网站总数中所占份额却仅为29.4,位于.COM 之后。
恶意网站图谱 10