互联网典型恶意域名跟踪思路探索

 

1 缘起

经过多年对互联网上的恶意域名解析对应地址的跟踪,发现有的单个IP地址对应的恶意域名数量非常巨大,达到数百上千,在每周的大陆和海外单个IP地址对应恶意域名数量前10位地址列表中就可以清晰的反映出来。这个列表一般的变化不大,但是一旦出现了变化,就代表目前互联网上出现了新的集中爆发的恶意行为,因此大陆和海外单个IP地址对应恶意域名数量前10位地址变化跟爆发性的互联网恶意行为的关联度很大,这是一个深入分析和探究恶意地址变化规律的突破口。通过对这个列表的排名变化的持续跟踪,可以直观的发现互联网的恶意行为的爆发,持续和迁移的全生命周期过程。

如果再采用一些创新思路,比如考虑到人的因素,就可以轻易锁定跟这些恶意域名有关的地下产业链组织。

2 恶意域名爆发典型事例

在2015年2月2日2015年第5周安全通告中首次发现了北京的112.124.19.114这个IP地址进入了单个IP地址对应的恶意域名数量前10 位列表,并且排名第一,由于这个地址是北京万网志成的,就把这次的恶意域名爆发称为北京的万网志成的112.124.19.114 IP地址涉及大量恶意域名爆发事件。这些恶意域名包括有”*.0519mr.net” 、”*.mingyuanjiafang.com”、”*.bfholiday.cn”、”*.citystategarden.com”、”*.cfdeli.cn”,

而一个标准的恶意域名就类似如“1421970858.cfdeli.cn”、“1421984986.0519mr.net”、“bugeti.bjsyedu.cn”的组成形式。

3 恶意域名全生命周期过程

通过对这些恶意域名和对应地址的记录进行分类统计,得出以下统计图表,从该图表中一些明显的时点来标记这次恶意域名从爆发、持续、高潮、衰减、再次上升、再次衰减直到向海外迁移的全部生命周期过程。

2015-01(图一)

以下是根据图表统计结果做的全生命周期时点标记:

1) 2015年1月底:北京的112.124.19.114这个IP地址涉及的恶意域名数量超过1600,标志着北京的万网志成的112.124.19.114 IP地址涉及大量恶意域名事件正式爆发;

2) 2015年2月,恶意域名分别跟北京联通、天津联通、浙江阿里网络、北京万网志成相关,恶意域名继续蔓延;

3) 2015年3月,涉及这些恶意域名的IP地址主要转为腾讯云网络,其余的IP地址依旧是北京市联通、天津市联通,北京万网志成的IP地址已经消失,涉及的恶意域名数量继续上升,达到了此次恶意域名爆发的第一次高潮;

4) 在接下了来的4、5、6、7月,各个地区的IP地址涉及的恶意域名的数量逐渐减少,进入了衰竭期;

5) 但是从8月开始,各个地区的IP地址涉及的恶意域名的数量又开始增加,到10月北京联通的IP地址涉及的恶意域名的数量已经超过了1600个,而北京联通和天津联通的IP地址涉及的恶意域名数量均超过200个,在10月在大陆的单个IP地址对应的恶意域名数量前十位列表中有八个地址跟这组恶意域名组有关,真是雄霸一方,标志着这波恶意域名已经进入了再次上升的阶段;

6) 从11月到年底,各个地区的IP地址涉及的恶意域名的数量又逐渐减少,在前十位列表中只有五个地址跟该恶意域名组有关,其爆发程度与10月的八个地址雄霸一方还是有一定的降温。标志着这波恶意域名再次开始衰减;

7) 在12月,恶意域名组对应的IP地址出现了新的地域,如广东电信;而在2016年的3月出现了海外地址香港,这是否是这批恶意域名也会像以前的恶意域名那样向海外迁移?

4 恶意域名跟踪的新思路

以前一直在恶意域名、IP地址、地域之间打转,没有考虑这些恶意域名跟人的关系,其实这些恶意域名都是人来申请、维护的,既然这些恶意域名长期存在,就说明它们对其所有人十分重要,通过这些域名,也就可以反向追踪它们的所有人的信息了。

借助互联网的魔力,大数据的管理,现在的确是可以让那些躲在恶意域名后面的人原形毕露。这就是我在这里提到的跟踪恶意域名的创新之处—Whois。

Whois查询,是用来查询域名的IP以及所有者等信息的传输协议。简单说,whois就是一个用来查询域名是否已经被注册,以及注册域名的详细信息的数据库(如域名所有人、域名注册商)。而Whois反查,就是可以通过注册人、邮箱或域名来查询有关跟这些因素相关的记录,功能更为强大。再结合到搜索引擎的强大记忆和社交软件如QQ广泛应用,以前我们认为难以发现的恶意域名背后的控制势力就会暴露在光天化日之下。

以下数据均来自对“0519mr.net”,“mingyuanjiafang.com “等域名进行反查得出的结论:

2

(图2)

图2是对0519mr.net “的查询结果的情况;

3

(图3)

图3是对“mingyuanjiafang.com “的查询结果.

可以清晰地看到两个恶意域名0519mr.net、mingyuanjiafang.com都是一个名叫wang lei的人拥有,其具体信息如下:

Registrant Organization:?Wang Lei
Registrant Street:?Bei jing shi Fang shan qu Shi xuan lu 28 hao
Registrant City:?Bei Jing
Registrant State/Province:?Beijing
Registrant Postal Code:?100000
Registrant Country:?cn
Registrant Phone:?001082222622

从上面的whois信息可以了解到注册这些域名的用户名叫Wang Lei,注册地在Bei jing shi Fang shan qu Shi xuan lu 28 hao(北京市房山区Shi xuan lu)。当然这些信息都可能是假的,不过邮箱一定是真实的,因为需要通过邮箱来注册;

再通过邮箱深入跟踪:

我们看到的有关的邮箱是 wangwu121121@yeah.net 另外我们通过不同的用户名如 lei wang 、wang lei 又可以收集到不同的注册邮箱,如

45350566@qq.com、? 注册了67个域名;466249942@qq.com、 注册了17个域名;365100038@qq.com、 注册了1个域名;1842118984@qq.com ?注册了1个域名。继续跟踪QQ号45350566和466249942的详情,发现一些关联。这两个QQ号的所有人应该是一个人:

4

(图4)

接下来通过网络再收集这些QQ号和手机号的信息,这个人的信息就更加多了。如用“ 微信/qq:45350566”去百度搜索,就可以看到多个跟一个叫“农老二”ID有关的文章,再利用“45350566 qq”去百度查询,就会看到一些低俗的内容,如果用“微信 13716046487“去百度搜索,就像看到一些色情信息:
图5是网络搜索结果截图:
5

(图5)

目前手机已经采取了实名制,因此通过手机号查询所有人的信息,对于有关部门来说,完全是轻而易举的事情,至此,这些恶意域名后面的控制人的身已经完全暴露。

网名:农老二,QQ:至少4个,手机号码有两个,大致34-35岁,常住北京,喜欢在网络上闲逛,控制的恶意域名数量在2千左右。

通过以上的创新实践完全证明可以通过互联网的公开数据来跟踪前面我们发现的恶意域名,最终可以十分清晰的锁定这些恶意域名的所有人。

从这里可以看到随着网络的发展导致数据的积累,网络中很难再找到可以完全隐身的场所。就算是这些躲得很深的地下产业的高人,在今天也被网络大数据出卖。网络大数据最终会将一切所谓的秘密归为一统,达到万物皆数,天下归一的境地!

 

Written by 漏洞应急响应中心