Skip to main content
Nubint
QUICK REVIEW

[论文解读] Hiding in Plain Sight: A Longitudinal Study of Combosquatting Abuse

Panagiotis Kintis, Najmeh Miramirkhani|Research Open (London South Bank University)|Aug 28, 2017
Spam and Phishing Detection参考文献 35被引用 66
一句话总结

本论文对组合域抢注进行了首次大规模、纵向的经验研究,分析 468 billion DNS records 以揭示组合域抢注的流行程度、寿命、词汇属性,以及现实世界的滥用情况。

ABSTRACT

Domain squatting is a common adversarial practice where attackers register domain names that are purposefully similar to popular domains. In this work, we study a specific type of domain squatting called "combosquatting," in which attackers register domains that combine a popular trademark with one or more phrases (e.g., betterfacebook[.]com, youtube-live[.]com). We perform the first large-scale, empirical study of combosquatting by analyzing more than 468 billion DNS records---collected from passive and active DNS data sources over almost six years. We find that almost 60% of abusive combosquatting domains live for more than 1,000 days, and even worse, we observe increased activity associated with combosquatting year over year. Moreover, we show that combosquatting is used to perform a spectrum of different types of abuse including phishing, social engineering, affiliate abuse, trademark abuse, and even advanced persistent threats. Our results suggest that combosquatting is a real problem that requires increased scrutiny by the security community.

研究动机与目标

  • 通过定义组合域抢注及其与其他 DNS 抢注类型的区别来激发研究。
  • 在六年内量化组合域抢注在商标和数据集上的规模。
  • 描述组合域抢注域名的词汇与时序特性。
  • 识别现实世界中的滥用,包括网络钓鱼、恶意软件、联盟滥用和商标滥用,以及 APT 的使用。
  • 评估与其他抢注现象相比,在检测和整改方面的差距。

提出的方法

  • 在将近六年时间内,结合来自被动和主动 DNS 源的 468 billion 条 DNS 记录。
  • 从 Alexa 顶部域名定义一组 246 个美国品牌商标的种子集合(后扩展为 22 个商业类别)。
  • 构建并分析包含商标域名的 Combosquatting Passive (CP) 与 Combosquatting Active (CA) 数据集。
  • 将数据集与 Public Blacklists (PBL)、APT 报告、Spamtrap、恶意软件源、Alexa 白名单以及证书透明度相连,以研究滥用集合(C_pbl、C_apt、C_spa、C_mal、C_ale)。
  • 使用 Wang 等人的五种 typosquatting 模型,将组合域抢注与拼写错识别(typosquatting)进行比较,以量化流行程度和攻击模型。
  • 分析词汇构造、域名长度、分解为单词/片段的标记,以及各类别中常见的滥用词。

实验结果

研究问题

  • RQ1在大规模 DNS 数据集中,组合域抢注相对于拼写错识别及其他抢注形式的流行程度如何?
  • RQ2哪些词汇和结构属性刻画了组合域抢注域名?
  • RQ3组合域抢注域名的时序行为和寿命是怎样的,多久会被修复或列入黑名单?
  • RQ4组合域抢注所促成的现实世界滥用有哪些(网络钓鱼、恶意软件、SEO、商标滥用、APT 等)?
  • RQ5与组合域抢注域名及其滥用相关的托管/基础设施特征有哪些?

主要发现

  • 组合域抢注域名比针对同一商标的拼写错识别域名的普遍性大约高出 100 倍。
  • 近 60% 的滥用组合域抢注域名持续超过 1,000 天。
  • 大约 20% 的滥用组合域抢注域名在 DNS 数据首次解析后约 100 天出现在公开黑名单中(恶意软件源为 30%)。
  • 在 2011 年至 2016 年之间,组合域抢注查询数量逐年增长,与拼写错识别不同。
  • 50% 的组合域抢注域名在商标上最多增加 8 个字符,40% 通过添加一个单元(token)形成;域名往往包含与商标所处行业相关的词汇。
  • 自 2013 年起,已向 107,572 个具全限定域名的组合域抢注域名颁发了 691,182 张 TLS 证书,其中 Let’s Encrypt 颁发了 41.5%,而拼写错识别域名仅有 3,011 张证书。
  • 组合域抢注域名支持包括网络钓鱼、社交工程、联盟滥用、商标滥用、恶意软件 C2 及 APT 相关用途在内的广泛滥用。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。