2014年一季度恶意地址跟踪报告

1  总体情况

一季度一共从国家权威部门获取的恶意域名数是233个,同时重新整理前期输入的恶意域名,将长期不再有效的恶意域名剔除,得出目前最新的的恶意域名数是7267个。

根据我们跟踪的结果发现,恶意域名数量跟对应的地址数量是完全不匹配的,存在一个地址上可以加载几百个域名,以及一个域名可以对应多个IP地址的情况,但总的情况还是域名数量远远大于IP地址数量。

这些域名本季度的对应的恶意地址数量验证结果如下图:

2014-ip

从图上可以看出,每周的域名验证结果都是不一样的,但是在一定的区间内波动,最高2700多个,最低只有2000个左右,平均在2500左右;

需要关注的是从3月中旬(第10周)起有效存活恶意地址数量开始出现大幅震荡的情况;从图上可以清晰地看出,第10周恶意地址数量大幅减少,从前一周的2572个,大幅减少到1962个,而在第11周的又出现相反的情况,即有效存活恶意地址数量大幅增加的情况,第12周、第13周、第14周、第15周继续这种大幅波动的情况。可能的原因我当初猜测是两会期间官方加大监控打击力度。按照以往的惯例,这个打击力度在两会以后将会逐步降低,我们预计这种大起大落的现象还可能维持几周,然后每周存活的恶意地址数量还是在2500左右;但是目前的情况依旧还是处于大幅震荡阶段,似乎还没有收敛的迹象。

在一季度,大陆恶意地址比较活跃的省份是湖北,有4个地址出现在大陆涉及恶意域名数量前10位榜单中,然后又突然消失;海外地址重点关注的是德国几个跟金融诈骗有关的地址;

恶意地址数量排名大陆是广东、江苏、北京、浙江、河南位居前五;海外是美国、韩国、香港位居前三,美国占全部海外恶意地址数量的60%左右;

2 反复出现的新增地址分析

有些新增的地址其实不是真实的新增,而是跟前一周相比新增,也就是说这些地址是重复新增的。这些地址对应的域名有所变化,它们对于黑产的意义就比那些一次使用后就废弃的地址重大,因此需要特别重视这些反复新增的地址。

根据每周持续的跟踪,在2014年第一季度,发现重复新增次数达到4次及以上的地址数量是50个,这些地址需要重点关注。(具体数据参见附件1)

这些地址中大陆地址9个,海外地址41个。在大陆地址中,河南4个地址、广西3个地址、广东2个地址。需要特别重视的地址有河南省周口市联通IDC机房61.158.240.138和61.158.240.140,属于一个C类子网的重复,类似的情况还有广西梧州市电信IDC机房的222.217.221.27、222.217.221.39和222.217.221.50;

在海外地址中,美国15个地址、韩国15个地址、德国、马来西亚、意大利各2个,其他还有香港,日本,法国等。可以看出美国、韩国的恶意地址占绝大多数,目前恶意地址向海外迁移的趋势比较明显;

对于美国的恶意地址,首先需要关注累计重复次数达到6次的174.37.172.162和207.171.189.81;特别需要关注累计重复次数达到5次的美国的38.109.102.178,本季度出现2次;还需关注涉及淘宝类金融诈骗的216.24.200.90;另外需要关注累计重复次数达到5次的美国的64.74.223.43、141.101.114.20和174.35.40.6;

对于韩国的恶意地址,第一需要关注的是累计重复次数达到7次的韩国的59.12.180.164,它涉及的是一系列的“update”为关键字的恶意域名,并且本季度出现2次;第二需要关注的是27.102.78.151、27.102.78.152、27.102.78.156几个地址,属于一个C类子网的重复;第三需要关注的是韩国的115.71.1.8、115.71.2.22、它们本季度均出现2次;

需要重视的地址有来自德国的46.82.174.68,意大利的93.46.8.89,本季度出现2次,而马来西亚的58.26.1.64和58.26.1.97,属于一个C类子网的重复;

3 涉及到大陆的恶意域名的地址前10位分析

我们看到跟前一周的记录相比,这些地址的排名以及涉及到的恶意域名数量也没有任何变化,下面是对前10位地址的详细介绍:

3.1 一季度保持存活的地址介绍:

1)   位于广东省深圳市 电信(龙岗/南山区)的219.134.132.88,涉及到386个恶意域名,这些恶意域名都是以bXX.isgre.at的形式存在。这个地址以及对应的恶意域名数量一直保持不变;

2)   位于河南省南阳市 电信219.150.241.46,涉及到203个恶意域名,这些恶意域名大部分以.1XX.conna.dtdns.net、31X.inc.ass0.fr、31X.office.1s.fr的形式存在;这个地址以及对应的恶意域名数量一直保持不变;

3)   位于江苏省常州市 电信的61.160.239.25,涉及到196个域名,这些恶意域名都是以98084261958.go.3322.org的形式存在;这个地址以及对应的恶意域名数量一直保持不变;

4)   湖北襄樊的61.136.228.213涉及的恶意域名有所增加,从最开始的31个增加到114个,这些恶意域名都是以138[9]+(6位数).lingjunedu.com的形式存在。目前看这类恶意域名正在向湖北襄樊的61.136.228.213聚集。

5)   位于上海市 移动的221.130.179.36,涉及到92个恶意域名,这些恶意域名都是以XXXX.3322.org形式存在;这个地址以及对应的恶意域名数量一直保持不变;

6)   位于福建省厦门市 电信的125.77.199.30,涉及到43个恶已域名,这些恶意域名以XXXX.3322.org的形式存在,在本季度消失了两周,后来又恢复;

7)   位于福建省厦门市 电信222.76.217.179,涉及到36个恶意域名,这些恶意域名以CXX.isgre.at、dXX.isgre.at存在,在本季度消失了两周,后来又恢复;

8)   位于北京市 电信通的211.100.253.9,涉及到39个域名,这些恶意域名以dXX.isgre.at的形式存在;

9)   位于河南省郑州市 景安计算机网络技术有限公司的42.51.16.29,涉及到37个恶已域名,这些恶意域名大都以XXXX.jymyzh.com存在;

10) 位于浙江省绍兴市 电信的60.190.217.230,涉及到30个恶意域名,这些恶意域名都是以bXX.isgre.at的形式存在XXX.meyzs.com、XXX.cdkyjm.com、.dgcaili.com等形式存在;

3.2 一季度上榜又消失的地址

1)   位于湖北省潜江市 电信的58.53.128.97,涉及到17个恶意域名,这些恶意域名都是以XXX.fazpw.com、XXX.hxswj.com、.kjdpx.com、的形式存在

2)   湖北省襄樊市电信的219.139.190.203;

3)   湖北省随州市联通的119.36.192.34,涉及到53个恶意域名,这些恶意域名都是以138[9]+(6位数).lingjunedu.com的形式存在。

4)   湖北省襄樊市 电信的219.139.190.203,涉及到43个恶意域名,这些恶意域名大部分以138[9]+(6位数).lingjunedu.com的形式存在;

5)   以上消失的地址都与湖北有关。

3 涉及到海外的恶意域名的地址前10位分析

我们看到跟前一周的记录相比,这些地址有一点变化,一个英国的地址需要密切关注。下面是前10位地址列表和详细介绍:

3.1 一季度保持存活的地址介绍:

1)   位于美国加利福尼亚州奥兰治县富勒顿市Staminus通信公司的72.8.190.39,涉及到300个恶意域名,这些恶意域名都是以.tk的形式存在,包括有taobao、zhifu、boc、ccb等字符的金融诈骗类域名;

2)   位于德国的地址88.198.132.3,涉及的域名数量是269个,这些恶意域名以形式”[任意字符].usa/flu/igg.cc”存在;

3)   位于美国的216.8.179.23,涉及到256个恶意域名,这些恶意域名都是以.pl的形式存在,包括有ICBC、taobao、ccb、boc等字符的金融诈骗类域名;

4)   位于美国的67.208.74.71,涉及到112个恶意域名,这些恶意域名以 .rr.nu、assexyas.com、bestdeals.at和kwik.to形式存在;

5)   位于德国地址91.237.88.234,涉及到的恶意域名数量达到85个。这些域名主要还是跟淘宝类金融诈骗的钓鱼地址有关。如cemn-toabai.comwofghggjhj.ce.ms、item-taobao.com-url.ce.ms、taobaocom-aa.ce.ms等。

6)   位于加拿大的地址184.107.53.150,涉及的域名数量是69个,这些恶意域名以b2c.iobo.[任意字符]bee.pl形式存在;

7)   位于美国的216.38.62.18,涉及到68个恶意域名,这些恶意域名以.cc形式存在,包括有taobao、mrbankicbc、gongjijin等字符的金融诈骗类域名;

8)   位于法国的地址5.135.146.24涉及的域名数量是61个,这些恶意域名以形式[任意字符].c4.fr,fr.mu等形式存在;

9)   位于法国的地址5.135.146.81,涉及的域名数量是60个,这些恶意域名以这些恶意域名以形式[任意字符].c4.fr,fr.mu等形式存在;

10) 位于英国的地址176.74.176.179,这是本周新增的一个恶意地址,涉及到的恶意域名数量达到40个,极端富有爆发性。需要关注这个地址的后续表现;

4.2 一季度上榜又消失的地址:

1)   位于德国的地址62.116.143.18,它涉及到的恶意域名数量从60个快速增加到85个,导致排名大幅靠前。这些域名主要还是跟淘宝类金融诈骗的钓鱼地址有关。本季度已经消失。如cemn-toabai.comwofghggjhj.ce.ms、item-taobao.com-url.ce.ms、taobaocom-aa.ce.ms等。

Written by liuyang