在网络中也要阻止"被熏染"，看黑域名的危害与应对步伐 |运维实战家

宣布时间：2020-04-14

作者：吴影刘辉辉

97国际·(中国区)集团官方网站

2020年伊始，一种名为“COVID-19”的新型冠状病毒在全球肆虐，而在网络天下里，病毒也没闲着。借助于真实天下里的病毒肆虐，网络攻击者趁机撒播恶意软件，大批用户“惨遭熏染”。这批被熏染的用户，借助于“黑域名”的资助，继续在网络空间内对病毒“肆意撒播”，那么“黑域名”是什么，对我们有什么影响，本篇将为列位逐一道来。

黑域名是什么？

“黑域名”一样平常指的是如下两种类型的域名：

通过非正规渠道购置、泉源不明的域名；
恶意软件用于在僵尸网络中实现管理及控制等功效而使用的域名；

这里我们所指的“黑域名”特指第二类，即恶意软件（如挖矿病毒、僵尸网络、勒索病毒等）通过“黑域名”实现被控制终端与控制服务器之间坚持通讯的域名。“黑域名”还可分为静态和动态两类。

静态黑域名常用于挖矿、勒索病毒等网络攻击行为。

动态黑域名常用于僵尸网络或C&C等网络攻击行为，经常使用DGA算法(Domain Generate Algorithm)天生。

对恶意程序而言，牢靠的恶意IP地址极易被清静装备检测并阻断，无法实现隐藏与有用地控制。以是，僵尸网络与C&C攻击在设置恶意软件时起劲阻止使用牢靠IP地址作为被控终端与服务器端的毗连。在程序中经常使用DGA算法来天生随机域名(黑域名)，以绕过常见的清静防护手段，实现对被控制端一连、有用的控制。

通过DGA算法天生的黑域名在互联网中经常无法会见，由于恶意攻击者在恶意软件运行时，才对域名举行注册，以是我们发明的黑域名经常无法直接举行会见。

黑域名与通俗域名的区别有哪些？

现用现注册

由于注册域名需要用度，故恶意攻击者经常在黑域名妄想上线前才注册域名，在此时黑域名才可在互联网情形中会见。

使用时间短

由于现有清静防护步伐对网络流量中的行为举行检测，发明可疑请求后将上传云端清静管理中心。以是在黑域名生效使用后，现有检测、防护装备可快速识别并广播防护规则实现有用阻断，为了阻止长时间动态域名的袒露，恶意攻击使用一个特定黑域名的时间都不长，通过在1-7天左右。

统一款恶意软件硬编码多个黑域名

统一款恶意软件在制作时可能会内置多个黑域名，以提高乐成毗连僵尸网络的几率。

黑域名的常见通讯历程是怎样的？

当下互联网情形中，经常使用黑域名来实现隐藏僵尸网络中主控端真实IP，因其使用域名的动态性，可绕过基于特征检测的清静防护装备防护功效。

以动态黑域名为例，说明黑域名的使用场景及使用历程。

97国际·(中国区)集团官方网站

1、熏染并天生随机域名

恶意职员通过恶意邮件、网络入侵等手段，向用户盘算机投放恶意病毒，释放C&C被控端软件。被控端软件安排后，凭证DGA算法天生伪随机域名。

2、注册随机域名，被控端反向毗连主控端

恶意攻击者可提前注册部分黑域名，在恶意程序熏染终端后使用DGA算法天生伪随机域名池，使用池中域名逐一直DNS服务器请求对应的IP地址，直至乐成获取IP地址后即举行C&C会话毗连，举行反向毗连。

关于历史上发明的黑域名示例：

zugzwang.me
tr069.online
tr069.tech
tr069.support
zvdhcktzjoz.biz
1cgqypq2o9mf4d3pgt0100twa.net
d7gdxaph63ks231iac1gfmf0i.biz
pwmdyyj.info
sxekhtn.net
bbhxyjv.org
ihbgynr.biz
ywqksthri.net
……

黑域名的识别

一些第三方威胁情报公共平台可以举行黑域名的协助确认（以下截图以微步在线威胁情报社区为例）：

97国际·(中国区)集团官方网站

同时借助于我司RG-BDS大数据清静平台、RG-BDS-TSP流量探针以及RG-APT高级威胁检测系统，均能第一时刻发明黑域名的剖析与会见，并举行告警。

RG-BDS大数据清静平台统一告警：

97国际·(中国区)集团官方网站

RG-BDS-TSP流量探针告警：

97国际·(中国区)集团官方网站

RG-APT高级威胁检测系统告警：

97国际·(中国区)集团官方网站

黑域名防护常见场景

某客户保存被恶意软件熏染的主机，向外网发送异常的黑域名毗连请求，上端运营商、上级单位等机构发明客户处保存的异常流量，同步客户处置惩罚要求。

除了实时对遭受恶意软件熏染的主机举行病毒扫除等清静加固步伐外，可使用97国际全新NGFW的DNS过滤功效（或DNS洗濯功效），进一步控制黑域名的异常会见，将相关危害降至最小。

常见拓扑如下：

97国际·(中国区)集团官方网站

前置条件说明：

防火墙能够正常毗连公网；
防火墙必需已购置授权，且授权仍在有用期内；

原理说明

97国际全新NGFW的DNS过滤功效，顾名思义，防火墙在内部中毒主机会见黑域名时的DNS交互阶段起控制限制作用。

在防火墙举行DNS过滤历程中：

防火墙需要与云端服务器举行交互；
当第一次识别到某个域名（假设为域名A）的剖析请求时，防火墙会在转发DNS报文的同时与云端确认域名分类，并纪录在防火墙的缓存信息中；
在缓存信息有用的条件下，第二次以及更多次请求识别到域名A的剖析请求时防火墙可以直接举行处置惩罚；

以防火墙对某个域名（假设为域名A）举行DNS过滤的事情流程的形貌，可用下图简述：

97国际·(中国区)集团官方网站

详细设置

1、用户基本上网设置：

凭证现实需求，将防火墙安排到网络中，实现基本上网需求；

2、防火墙授权注册与激活：

凭证防火墙授权注册流程完成注册与激活，激活完成后确保目今装备仍处在授权有用期内，如下图所示：

97国际·(中国区)集团官方网站

3、设置DNS过滤模板：

通过Web 进入工具设置--DNS过滤模板，装备默认已有DNS模板“default”，可点击右上角的增添按钮，新增一个模板，如本例增添的模板“dns_filter”：

97国际·(中国区)集团官方网站

设置选项说明：

阻断发送到botnet C&C的DNS请求：防火墙装备在导入授权后，会将云端的Botnet地址库、C&C地址库下载到外地；开启此功效后，当DNS请求的域名在Botnet地址库或C&C库中，DNS请求将直接阻断，不会举行后续处置惩罚；

基于清静中心分类的过滤器：将DNS请求的域名发送到云端，云端会返回请求的域名的分类信息，用户可基于分类效果，对差别的分类执行差别的行动；

静态域过滤器-域过滤：可手工界说一个域名列表，人为指定对特定域名的处置惩罚行动；

静态域过滤器-外部IP阻断清单：与域过滤类似，可手工界说一组IP列表，当域名剖析出的地址在该地址列表规模内，人为指定处置惩罚行动；

可选项-当爆发网址分类过失时允许DNS请求：开启此功效后，当请求的域名发送给云端，云端暂未对其举行分类，或者防火墙与云端无法正常通讯时，用户的DNS剖析报文可正常转发；关闭此功效后，如泛起域名没有分类，或云端毗连异常时，DNS报文将不举行转发。

可选项-纪录所有DNS盘问及响应日志：开启此功效后，可同时纪录DNS的请求与回复内容。

推荐必需开启的功效选项：阻断发送到BotnetC&C的DNS请求，基于清静中心分类的过滤器（务必凭证现实需要对特定分类的行动举行修改与确认），可选项-当爆发网址分类过失时允许DNS请求。

4、设置SSL深度检测模板

在防火墙6.0软件版本上，为了提高清静性，在清静战略开启UTM功效时，要求必需选择SSL/SSH深度检测模板。装备默认已内置SSL深度检测模板，但默认模板中都会对SSL、SSH协议举行代理检测，在现实应用中可能导致泛起营业异常。因此如现实场景中没有SSL加密内容的解密需求，需要重新设置一个不加密检测的SSL模板。

设置要领：通过WEB方法进入工具设置--SSL/SSH深度检测模板，点击右上角新建按钮，建设一个新的SSL/SSH深度检测模板，如下图新建的SSL/SSH深度检测模板“no_ssl”：

97国际·(中国区)集团官方网站