攻擊者通過Emotet和冒充McAfee來利用域名停放獲利（上）

域名停放(英文名称为DomainParkingServices)也叫做域名停靠、域名流量停放，是一种为闲置域名而自动生成网页广告界面的网站系统。就是利用你的域名解析到一个广告页面，利用该域名的访问者对该页面的访问量或者点击广告页面的次数，来获得广告收入的一种方式。国外也将其称之为WIKI技术的其中一种.一般是提供域名停放服务的网络服务商，会做一个网站程序页面，让你把需要停放的域名解析到他的IP上，程序会根据来访的域名显示你的域名在这广告页面的上方。

如果有人通过访问后，有点击广告你将得到相应收入分成。所以，有的域名投资者会把域名做停放，用空闲或待价而沽的域名达到赚钱的目的。停放网页中一般包含了广告链接，广告商为访问者的点击而付费，点击费一般在每次几分到几元不等，站长就可以从中分享收入。平常，在研究人员通过搜索引擎或其他方式访问某个页面时会发现不同域名的页面相似，其实是不同人在同一个域名停放服务商做的域名停放。这种收益方法没有任何风险，简单而有效。

域名停放类似于加入广告联盟，但比广告联盟更为简洁和方便，域名所有者连网站内容都无需提供，将一切都委托给了域名停服务商，只保留了域名所有权，无需维护。当然，加入域名停放再宣传此域名，也可能带来更多访问流量，提供停放收入，这个就要域名所有者自己衡量投入和产出比了。

乍看之下，域名停放似乎对网络不会造成什么危害，但根据跟踪分析，停放的域名却会对网络安全构成了重大威胁，因为它们可以在任何时间点将访问者重定向到恶意或不需要的着陆页或完全变为恶意。

Palo AltoNetworks的研究人员已经连续九年跟踪分析停放域名了，从2020年3月到2020年9月，研究人员确定了500万个新的域名。在同一时间范围内，研究人员已经观察到600万个托管域已转移到其他类别。在转移的托管域中，有1.0%被更改为恶意类别(例如网络钓鱼或恶意软件);2.6%被更改为例如成人或赌博等不安全的网站;30.6%的类别被更改为可疑类别(例如可疑或高风险)，与良性域(例如计算机和互联网信息或购物)相比，停放域将其类别被更改为上述非良性类别之一的可能性高出八倍。

在这篇文章中，研究人员将进一步研究域名停放生态系统，并概述不同类型的滥用，包括：

1. 域名注册滥用

作为全球Emotet活动的一部分，研究人员发现了valleymedicalandsurgicalclinic[.]com的恶意生命周期，虽然，这个恶意攻击已经不再活跃了。Emotet是一款具有全球影响力的恶意软件，2014年以银行木马的形式出现。今年7月以来，研究人员已在全球多个国家(包括美国，英国，加拿大，奥地利，德国，巴西，意大利、西班牙等)记录了至少80万条与该恶意软件相关的垃圾邮件。

Emotet是从从银行木马逐渐发展为成熟的僵尸网络的，美国网络安全和基础设施安全局(CISA)在一月份发布有关僵尸网络的警告时指出：Emotet仍然是影响部分地区政府的成本最高且破坏性最大的恶意软件之一。其蠕虫特征使它在网络中感染其它机器并迅速蔓延。如上所述，PaloAltoNetworks已经观察到针对包括美国、英国、法国、日本、韩国和意大利在内的全球各个行业(例如教育，政府，能源，制造，建筑和电信)的组织的攻击，针对法国组织的攻击还利用了COVID-19话题，攻击者使用了Covid19作为网络钓鱼电子邮件的主题，不过这些攻击均未成功。

2. 广告滥用

研究人员观察到攻击者滥用与当前美国总统大选有关的Peoplesvote[.]uk域。在访问Peoplesvote[.]uk时，大多数时候会向用户显示广告列表页面。不过，有时用户会首先被重定向到托管漏洞利用工具包脚本的0redira[.]com/jr.php，随后用户被重定向到调查网站，询问用户对JoeBiden或DonaldTrump的投票偏好。托管在0redira[.]com/jr.php上的漏洞利用工具包脚本以静默方式对浏览器进行指纹识别，以跟踪用户的网络活动，并隐藏着陆URL，以防止安全公司和研究人员对其进行分析和阻止。值得注意的是，截至撰写本文时，这些页面仍处于活动状态。

此外，研究人员还观察到一个域xifinity[.]com，它模仿xfinity[.]com。当用户尝试访问Xfinity网站但无意中输入了额外的“i”时，就会被转到xifinity[.]com，并将其重定向到滥用的着陆页，即antivirus-protection[.]com-123[.]xyz。在撰写本文时，这两个域均处于活动状态。登陆页面试图使用户误以为他们的计算机已被感染，并且他们的McAfee订阅已过期。当用户点击“继续”按钮就会将用户重定向到提供防病毒订阅的合法McAfee下载页面，研究人员认为，这是攻击者滥用McAfee的会员计划来窃取广告收入。

因此，企业的最佳安全性最佳做法是密切跟踪停放的域，而消费者应确保他们正确输入域名并在进入任何站点之前仔细检查域所有者是否受信任。

Palo Alto Networks的下一代防火墙客户可以通过URL筛选和DNS安全订阅来阻止停放的类别。

域名停放的原理

个人和企业需要向注册服务商(ICANN认可的域名经销商)支付年费，以购买域名并成为域名所有者。如果域名所有者没有准备好将其域名指向的内容或服务，则可以利用停放服务通过用户流量获利。设置停放服务非常简单，仅要求域所有者将其名称服务器(NS)记录指向停放服务。作为回报，停放服务将向访客显示广告列表，或自动将用户重定向到广告客户的网页。

在第一种情况下，当用户点击广告时，域名所有者和停放服务获得报酬，而在第二种情况下，每次用户访问则向其支付报酬。一些域名所有者购买大量域名作为一项投资，以便以后转售它们以获利或通过用户流量获利。如先前的研究和本文所显示的那样，托管域名可能对最终用户构成重大威胁。因此，连同其可疑的实用程序一起，最好阻止封锁的域名。

PaloAltoNetworks已部署了全面的通道来跟踪新停放的域，并将检测结果发布到URL筛选。最近，研究人员还启动了DNS安全中的停放类别。研究人员的通道具有如下功能：

• 监控已知的停放服务提供商及其基础架构。
• 跟踪域注册和被动DNS查询，并执行反向DNS查找。
• 抓取网站内容。
• 利用机器学习来组合多个功能以对域是否已停放进行分类。

下一篇文章中，我们会详细介绍域名注册滥用、广告滥用和停放服务滥用。

本文翻译自：https://unit42.paloaltonetworks.com/domain-parking/

鸿蒙官方战略合作共建——HarmonyOS技术社区