误植域名:拼写错误触发的恶意软件感染

在一些案例中,某些网站会被盗用而作为传播恶意软件的主机。就我们所知,用来误导用户转至恶意站点的方法可谓花样百出,其中一种就是”误植域名”。 对我们来说,在网络浏览器中输入网址时出现拼写错误实在是太平常的事。但网络犯罪分子往往会利用这一情况来误导用户转至恶意网站,而不是用户实际想访问的站点。这被称为”误植域名”(typosquatting)- 这个英文单词由”typo(错误拼写)和”squat(蓄意)”两部分组成,也称为”网址劫持”(URL hijacking)。网络犯罪分子会注册与流行域名类似的域名,然后等候拼写错误的用户上钩。这对于企业来说实在是件讨厌的事,甚至导致域名被网址蟑螂(typosquatter)滥用的公司之间引发官司。 当然,误植域名对于消费者来说也是一种威胁。当用户无意中访问这些网站时,会发现浏览的是垃圾网站,甚至更糟糕的是,有可能被恶意软件感染。下面我们将讨论真实发生的案例。 典型案例:Gmail滥用 首先我要解释下我们为了减少被恶意软件感染的受害者而做出的努力。只要发现有任何被盗用的网站,我们就会尝试联系其管理员并发出警告。下面是我们遇到的一个实际例子。这是一个无意间托管了恶意软件的网站上的WHOIS信息。在”Administrative Contact”(管理联系人)字段中,您会看到字符串”A***3JP”。这是由日本域名注册服务公司(JPRS)管理的JPNIC句柄,也是找出该站点管理员的关键。(换句话说,就是在此字段中注册的电子邮件地址。) 我们检查了负责管理”A***3JP”域的管理员: 在”E-Mail”字段中的电子邮件地址就是应该发现自己的网站被恶意软件感染的人员的联系信息。提醒未发现感染的管理员是阻止恶意软件进一步传播的重要环节之一。 但经过更进一步的检查,我们发现此电子邮件地址中存在问题。它看上去类似于Gmail地址(xxx@gmail.com),但实际上并不是,因为它缺了一个字母。 对于某些国家,正确的域信息注册是一项法律规定。但在日本,有时注册的信息并不正确,而更糟糕的是不正确的信息可能会被有意注册。如果注册的电子邮件地址不正确,则我们就无法向网站管理员发出警告,对方也不会意识到自己已成为受害者。 但在这种情况下,注册类似Gmail域名的意图显而易见:这是利用误植域名生成的一个陷阱,目的是误导用户下载恶意伪装程序。 结果地址类似于Gmail的网站可能会根据访问者的语言环境以多种语言显示,包括日语、德语、西班牙语、意大利语、荷兰语、波兰语、葡萄牙语、俄语、瑞典语和土耳其语。但没有”英语”选项,具体原因不明。请参见下面的网站截屏样本。网站合法的外观很容易会误导意外访问该网站的访问者毫不怀疑地下载并安装对象。 日语: 俄语: 在本文中,我解释了正常注册域名信息的重要性以及误植域名的工作原理,并通过我们在研究中偶然碰到的实例加以说明。误植域名并不是新鲜事物:它是误导用户的一种经典方法,已经存在好几个年头了。但全球范围内的受害者人数仍不断上升,原因是这种方法本身具有被动性质,即等着用户拼写错误而自动送上门,因为我们都可能时不时地犯些拼写错误。为了避免成为受误植域名驱动的恶意软件受害者,请定期更新操作系统和安全软件。

在一些案例中,某些网站会被盗用而作为传播恶意软件的主机。就我们所知,用来误导用户转至恶意站点的方法可谓花样百出,其中一种就是”误植域名”。

对我们来说,在网络浏览器中输入网址时出现拼写错误实在是太平常的事。但网络犯罪分子往往会利用这一情况来误导用户转至恶意网站,而不是用户实际想访问的站点。这被称为”误植域名”(typosquatting)- 这个英文单词由”typo(错误拼写)和”squat(蓄意)”两部分组成,也称为”网址劫持”(URL hijacking)。网络犯罪分子会注册与流行域名类似的域名,然后等候拼写错误的用户上钩。这对于企业来说实在是件讨厌的事,甚至导致域名被网址蟑螂(typosquatter)滥用的公司之间引发官司。

当然,误植域名对于消费者来说也是一种威胁。当用户无意中访问这些网站时,会发现浏览的是垃圾网站,甚至更糟糕的是,有可能被恶意软件感染。下面我们将讨论真实发生的案例。

典型案例:Gmail滥用
首先我要解释下我们为了减少被恶意软件感染的受害者而做出的努力。只要发现有任何被盗用的网站,我们就会尝试联系其管理员并发出警告。下面是我们遇到的一个实际例子。这是一个无意间托管了恶意软件的网站上的WHOIS信息。在”Administrative Contact”(管理联系人)字段中,您会看到字符串”A***3JP”。这是由日本域名注册服务公司(JPRS)管理的JPNIC句柄,也是找出该站点管理员的关键。(换句话说,就是在此字段中注册的电子邮件地址。)

我们检查了负责管理”A***3JP”域的管理员:

在”E-Mail”字段中的电子邮件地址就是应该发现自己的网站被恶意软件感染的人员的联系信息。提醒未发现感染的管理员是阻止恶意软件进一步传播的重要环节之一。

但经过更进一步的检查,我们发现此电子邮件地址中存在问题。它看上去类似于Gmail地址(xxx@gmail.com),但实际上并不是,因为它缺了一个字母。

对于某些国家,正确的域信息注册是一项法律规定。但在日本,有时注册的信息并不正确,而更糟糕的是不正确的信息可能会被有意注册。如果注册的电子邮件地址不正确,则我们就无法向网站管理员发出警告,对方也不会意识到自己已成为受害者。

但在这种情况下,注册类似Gmail域名的意图显而易见:这是利用误植域名生成的一个陷阱,目的是误导用户下载恶意伪装程序。

结果地址类似于Gmail的网站可能会根据访问者的语言环境以多种语言显示,包括日语、德语、西班牙语、意大利语、荷兰语、波兰语、葡萄牙语、俄语、瑞典语和土耳其语。但没有”英语”选项,具体原因不明。请参见下面的网站截屏样本。网站合法的外观很容易会误导意外访问该网站的访问者毫不怀疑地下载并安装对象。

日语:

俄语:

在本文中,我解释了正常注册域名信息的重要性以及误植域名的工作原理,并通过我们在研究中偶然碰到的实例加以说明。误植域名并不是新鲜事物:它是误导用户的一种经典方法,已经存在好几个年头了。但全球范围内的受害者人数仍不断上升,原因是这种方法本身具有被动性质,即等着用户拼写错误而自动送上门,因为我们都可能时不时地犯些拼写错误。为了避免成为受误植域名驱动的恶意软件受害者,请定期更新操作系统和安全软件。

[2014下一代网络安全]国际学生研讨会: 亚太、中东及非洲区域赛

长久以来,卡巴斯基实验室一直注重于人才培养, 帮助大学生和研究生成长为有丰富经验以及受人尊敬的网络安全专家。这也是卡巴斯基实验室在世界各地举办一年一度的下一代网络安全国际学生研讨会(CSNG)的宗旨。卡巴斯基实验室非常荣幸地能够将世界各地具备丰富信息安全知识的最优秀学生聚集在一起。 最新一轮的[2014下一代网络安全]国际学生研讨会:亚太、中东以及非洲区域赛于3月11-13日在韩国高丽大学举办。创始于1905年,高丽大学被公认为韩国最有历史性、最大以及最美丽的校园。 来自中国香港、印度、印度尼西亚、菲律宾、马来西亚以及南非的学生被选中参加会议并现场发表演讲。 本次比赛的评委包括来自卡巴斯基实验室的专家、IT安全领域的知名学者、IT企业的决策人和媒体代表。 值得一提的是,这也是过往七届会议以来,专家现场发表演讲次数最多的一次(高达10次),可谓让学生们获益良多。在两天的会议中,学生们的演讲主题包括地下网络的演进、网络安全、比特币、Cassandra、多触控行为对安卓屏幕解锁的影响、IT安全、员工自带设备(BYOD)、生物识别技术、网络犯罪检测以及网上安全教育工具。 本次会议在卡巴斯基实验室总裁兼创始人尤金•卡巴斯基的精彩演讲中结束。尤金总结说道:”这个世界并不安全。但我依然乐观地相信我们一定能够挺过去。我们需要更多的技术革新和IT安全专家。我们的使命就是保护整个世界。” 获得比赛第一名的选手是来自香港城市大学的蒙威志,他的报告主题是”评估多触控行为对安卓屏幕解锁的影响”。 紧接其后获得第二名的选手是来自韩国信息安全技术中心的Jaehoo Lee,他的演讲报告主题是”利用数字取证技术检测未知恶意程序”。 第三名获奖选手是来自菲律宾蒂利曼大学的Adelen Victoria Festin,她的报告主题是”利用openbts做为备选基站保障社区连接安全性的好处”。 最佳演讲由同样来自菲律宾蒂利曼大学的Camille Salazar摘得,她的报告主题是”SecuriThief—线上教育平台可保护儿童上网玩游戏等操作的安全性”。 最后,让我们祝贺以上所有获奖者以及预祝他们在六月瑞典举行的总决赛中获得佳绩。 更多会议现场报道,请关注以下卡巴斯基实验室中文官方平台: 新浪官方微博:http://weibo.com/1646000801/AABKUjUB8?mod=weibotime 人人公共主页:http://page.renren.com/600015142/channel-photoshow-7711769960#7711769960 腾讯官方微博:http://t.qq.com/p/t/377810120538318

提示