在第一季度和第二季2017年,我们注意到来自受影响网站的驾车下载急剧下降。过去的运动要么已经过去了(伪Darkleech)或改变了焦点(EITest使用社会工程技术).
恶意 - 它保持稳定,目前是一些最常见的恶意软件和诈骗分发操作的主要驱动力 - 不仅源于各种出版商,而且来自“被遗弃”的网站。这些相关领域曾经担任了合法的目的,但从永不被他们的业主续签,并落入演员手中,希望使用可疑的做法进行快速利润。
在这篇文章中,我们看一下过期域的恶意重定向是如何工作的,以及他们导致的是什么样的流量。
一个域名的生、死和复活
当涉及到网络安全时,大多数问题通常不是来自平台本身,而是来自运营平台的人,或者来自被放弃的财产。Sucuri的人写了很多关于这个的文章最近的帖子,他们展示了流行CMS中的过期域和过时的插件是一种致命的混合,导致恶意重定向。
这是一个网站的例子,oezelotel [。] com第一次注册denizduezguen@yahoo.de.2014年3月10日,该公司曾为多家酒店做广告,2016年被抹去,最终因域名注册没有续签而被停了下来。
图1:随着时间的推移,网站的演变及其最终过期域名
新主人,动机明确
一个历史谁是在停放的域名礼貌Hyas”Comox显示,2017年6月4日,域名将手从其原始所有者换成domainmanagers@outlook.com..这也是当网站更改托管时(从德国基于德国的服务器移动到美国)并开始表现出其恶意行为。
对同一注册人拥有的其他一些属性的练习述评表示经过过期的域名并通过可疑的广告网络将其货币化的Penchant。Domaintools已经结束了23 K记录属于同一个电子邮件地址。
恶意轮盘赌
你可能认为一个不存在的网站是无害的,但这不能进一步来自真相。放弃或遗忘的域通常注册并“停放”以产生低质量的流量(即垃圾链接)另一篇博客文章这是一种真正有利可图的商业模式。
我们观察到不同类型的流量,从虚假调查到更邪恶的活动,如飞车攻击和技术支持诈骗,都是基于访问者的用户代理。请注意,以下示例不要求用户单击任何链接,访问站点的简单事实触发了自动重定向。
钻机EK流量:
图2:RIG利用套件感染链通过Fobos活动交付Bunitu木马.
oezelotel [。] com(停放的网站) - > xml1.limeclick [。] com< html > <头> <标题>加载< /名称> < /头> <身体> location.href = ' http://xml1.limeclick[。com /点击?我= SXRzS * SmiP4_0”;身体< / > < / html >xml1.limeclick(。com - > bingfreegames3。信息212 kjhguihkhbvd[。cf -> 188.225.27.234 (RIG EK landing)
技术支持诈骗(TSS)流程:
图3:通过blobar [.org]重定向到技术支持骗局[.org]
oezelotel [。] com(parked site) -> bougainvillaeabuffeting[.]comloading title> head> location.href ='http:// bougainvillaeabuffeting [。] com / d / r5t9b73131?rtb = {redacted}&subid = oezel.com'; body> html>Bougainvillaeabuffeting [。] com - > blobar [。] orgdocument.write(''); SCRIPT>
图4:浏览器锁服务于一个技术支持诈骗页面(IP地址硬编码在图片中)
流量和用户目标
如今,恶意用户如何获得线索似乎无关紧要,只要他们是真正的用户,他们就可以暴露在恶意软件或骗局中。使用广告网络和恶意广告的一个优势是,与服务器端对受影响网站的检查相比,大量过滤可以通过整个分发链处理,效率显著。
停放的域名是劫持交通和货币化的许多情景之一。虽然这些做法提高了眉毛,但它们实际上是违法的吗?是域名注册商应该强制或禁止的东西吗?那些有趣的问题值得辩论。
必威平台APP阻止许多与恶意广告和驱动下载尝试相关的域。因为我们正在目睹越来越多的社会工程攻击,我们强烈建议你传播关于当今最常见的诈骗之一的消息betway 体育是哪国的.
注释