本文阐述了在DNS-OARC 35会议上提出的对域名系统(DNS)层次结构各层次的僵尸网络流量组进行的观察。
解决DNS滥用问题和维护健康的DNS生态系统是威瑞信致力于成为互联网负责任的管理人的重要组成部分。我们不断与互联网名称与数字地址分配机构(ICANN)和其他行业伙伴合作,帮助确保DNS的安全、稳定和弹性运行。
根据威瑞信权威顶级域名(TLD)服务器最近的遥测数据,威瑞信观察到一个广泛的僵尸网络,该网络在全球DNS总查询量中的比例过高,并与一些注册商、注册机构和ICANN协调,迅速采取行动对其进行补救。
就在威瑞信采取行动补救僵尸网络之前,每天有超过275亿次查询被发送到威瑞信的权威顶级域名服务器,约占威瑞信DNS总流量的10%。在大多数DNS环境中,这样的查询量会被认为是一种持续的分布式拒绝服务(DDoS)攻击。
这些查询与2018年出现的一种特殊的恶意软件有关,在整个互联网上传播,形成一个全球僵尸网络基础设施。僵尸网络为恶意行为者提供了一个底层,理论上可以进行各种形式的恶意活动–执行DDoS攻击,泄露数据,发送垃圾邮件,开展网络钓鱼活动,甚至安装赎金软件。这是恶意软件能够下载和执行恶意行为者想要的任何其他类型的有效载荷的结果。
恶意软件作者经常应用各种形式的规避技术来保护他们的僵尸网络不被发现和补救。域名生成算法(DGA)是这种规避技术的一个例子。
DGA出现在各种恶意软件族中,它们定期生成一些域名,可以作为僵尸网络命令和控制服务器的汇合点。通过使用DGA来建立域名列表,恶意行为者使安全从业者更难识别哪些域名将被使用以及何时使用。只有通过对一个恶意软件进行详尽的逆向工程,才能确定域名的最终集合。
犯罪分子为定制恶意软件DGA所做的选择直接影响了DGA逃避检测的能力。例如,选择在特定时间段内使用更多的顶级域名和大量的域名,使恶意软件的操作更难被破坏;然而,这种方法也增加了网络噪音的数量,使安全和网络团队更容易识别异常的流量模式。同样,使用有限数量的顶级域名和域名的DGA将产生明显较少的网络噪音,但更脆弱,更容易受到补救。
实施DGA算法或利用域名的僵尸网络显然代表了 “对DNS的滥用”,与 “通过DNS “执行的其他类型的滥用不同,如网络钓鱼。这是DNS社区应该考虑的一个重要区别,因为它继续完善DNS滥用的范围和对各种滥用进行补救的效果。
对僵尸网络用作汇合点的域名进行补救,引发了许多操作上的挑战和见解。需要对这套域名进行识别和调查,以确定其当前的注册状态。必须对已注册的域名进行风险评估,以确定是否应采取额外的行动,如发送注册商通知、发出转移域名的请求、增加可扩展供应协议(EPP)的持有状态、改变委托记录等。还有一些时间和协调因素,必须与外部实体平衡,如ICANN、执法部门、计算机应急准备小组(CERT)和签约方,包括注册商和注册处。还需要考虑、设计和部署其他技术决定,以实现预期的补救目标。
在与ICANN以及一些注册商和注册机构协调后,威瑞信注册了剩余的可用僵尸网络域名,并开始了一个三阶段计划,对这些域名进行sinkhole。最终,这一补救措施将减少发送到威瑞信权威名称服务器的流量,并有效消除僵尸网络在威瑞信运营的顶级域名中使用命令和控制域名的能力。
下图1显示了威瑞信权威域名服务器在干预之前,以及在注册、委托和沉没僵尸网络域名的整个过程中收到的僵尸网络流量。
第一阶段在2020年12月21日执行,其中100个.cc域名被配置为解析到威瑞信运营的sinkhole服务器。随后,威瑞信权威名称服务器的流量迅速减少。第二组域名包含500个.com和.net域名,这些域名在2021年1月7日被。同样,威瑞信权威名称服务器的流量迅速减少。最后一组879个.com和.net域名在2021年1月13日被sinkhole。到第三阶段结束时,DNS累计减少的流量超过了每天250亿次的查询量。威瑞信保留了大约10%的僵尸网络域名,作为安慰剂/控制组保留在serverHold上,以更好地了解sinkhole的效果,因为它们与子区和父区的查询量有关。威瑞信认为,对其余域名进行sinkhole将进一步减少权威性域名服务器的流量,使其再减少10亿次查询量。
这个僵尸网络凸显了DNS查询流量的显著的帕累托式分布,其中几千个域名跨越了包含超过1.65亿个域名的名称空间,对DNS资源的需求量大到不成比例。
是什么导致不存在的域名的DNS流量放大发生在DNS层次结构的上层?威瑞信正在对sinkholed僵尸网络域名进行各种测量,以更好地了解解析器群体的缓存行为。我们正在观察TLD和根域名服务器的一些有趣的流量变化,当生存时间(TTL)和响应代码在sinkhole服务器上被改变时。请继续关注。
除了在2020年底和2021年初对这个僵尸网络进行补救外,威瑞信还延长了其已经四年的打击Avalanche僵尸网络家族的努力。自2016年以来,由于威瑞信和一个由执法、学术和私人组织组成的国际联盟所采取的行动,Avalanche僵尸网络已经受到了很大的影响。然而,许多被Avalanche破坏的底层机器仍未得到补救,如果不采取更多行动,Avalanche的威胁可能再次增加。为了防止这种情况发生,威瑞信与ICANN和其他行业合作伙伴协调,正在使用各种工具确保Avalanche命令和控制域名不能在威瑞信运营的顶级域名中使用。
僵尸网络是一个持久的问题。只要它们作为对DNS的安全、稳定和弹性的威胁存在,跨行业的协调和合作将继续打击它们的核心。