网络犯罪者顶级域名使用分析：.com和发展中国家中招最多

级域名（TLD）（如 .com、.net、.xxx 和 .hu）位于域名系统的最高级别。顶级域名的定价策略、注册限制、安全措施以及与其他顶级域名的相似度（如 .cm 与 .com）都会影响犯罪分子的购买意图。

在一千余个顶级域名中，按恶意域名数量进行排行，前 25 个顶级域名中恶意域名的数量占恶意域名总量的 90 %以上。关注这 25 个恶意域名可以帮助我们更好地了解恶意域名，例如钓鱼域名的首选域名是那些提供免费注册的顶级域名。

前十个恶意域名比例最高的顶级域名中，有六个是发展中国家的顶级域名。例如恶名远播的顶级域名 .zw 比平均值还要高七个标准差，研究发现更多是因为被入侵而非恶意注册。另一个例子是 .pw 的钓鱼域名注册率高出平均值七个标准差。顶级域名的信誉度可以作为域名是否恶意的判断特征之一。

域名系统

以域名 unit42.paloaltonetworks.com 为例。该域名分为三部分，其中 .com 是顶级域名，而 Palo Alto Networks 在 .com 下购买了 paloaltonetworks.com 注册域名的所有权。该公司可以为不同的部门注册下一级域名的使用权限，例如 unit42.paloaltonetworks.com。

△ 示例域名

值得注意的是，顶级域名并非只有 .com 这种一级的形式，还有像 .co.uk 这种二级的形式。

顶级域名分为两类

通用顶级域名（gTLD）：在 ICANN 的监管下由私营公司控制并运营，如.com、.xxx 和 .google 等。

国家/地区顶级域名（ccTLD）：由国家/地区监管并运营，通常也会交给私营公司管理，如.us、.cn 和 .hu 等。

负责运营和维护域名注册的单位是注册管理机构。如果是通用顶级域名的注册管理机构，还负责制定有关定价、身份确认和购买限制等相关政策。这些政策会影响犯罪分子是否采用该顶级域名，免费或者较低的价格以及宽松的检查政策都会吸引犯罪分子使用。

域名数据

收集 2021 年 10 月 7 日的数据进行分析，有如下方式进行处理：

· 利用 Palo Alto Networks 的高级 URL 过滤服务判断域名的恶意性。

· 检查 Zone 文件、Passive DNS 收集、主动 DNS 请求验证域名的存在性。

· 不考虑域名停放、未知域名、水坑等特殊情况。

· 保留至少有一百个域名的顶级域名。

Palo Alto Networks 将恶意域名分为四类：

· Malware（恶意软件）

· Phishing（钓鱼网站）

· C&C（命令控制服务器）

· Grayware（风险软件）

除此之外，还有一些敏感的域名可能也需要进行过滤，如动态 DNS、成人网站、赌博网站、代理节点、Tor 等。

恶意域名数量

不出所料，.com 中的恶意域名数量最多，有近一半的恶意域名都在 .com域名下。

△ 各类域名的累积分布图

下表显示了注册域名总数、各类恶意域名数量和敏感域名的情况。越“平坦”的曲线表明该类域名在各个顶级域名下分布均匀，但犯罪分子往往显出偏向性：

· 超过 99% 的 C&C 域集中在 29 个顶级域名。

· 超过 99% 的域名集中在 219 个顶级域名中。

· Phishing（钓鱼网站）是分布最均匀的恶意域名。

· 超过 99% 的钓鱼域名集中在 92 个顶级域名中。

△ 各类域名 TOP 排行与累积分布表

.com 拥有近半的注册域名和恶意域名，不过该域名的注册机构积极清理恶意域名。

通过表中可以看到，如 .pw、.ml、.club、.cf 和 .top 在某些类型上排名靠前，但整体恶意域名的数量并不非常多。.xyz 在总量上并没有排名前十，但在钓鱼域名上恶意域名数量仅次于 .com 并且在风险软件上数量最多。

而像 .de 和 .uk 没有在任何恶意类型的前十出现，这两个顶级域名的恶意域名数量大大低于平均值。这表明，负责任的顶级域名注册管理机构可以帮助遏制恶意域名的滥用。

网络钓鱼域名常用的顶级域名，有一半都不在总量排名最多的前十位，这说明网络钓鱼的攻击者对顶级域名有自己的选择方式。通过抽检，可以发现大量针对大型科技公司的钓鱼。因为疫情大流行，与 COVID-19 相关的钓鱼域名也很多。

一些国家/地区的恶意域名数量惊人，有的比所在国家/地区的人口要多得多。与德国的 .de 相比，有些顶级域名甚至会高出数十万倍。

△ 部分国家/地区顶级域名与德国顶级域名比较统计表

太平洋岛国托克劳管理的顶级域名是 .tk，域名注册收入占其总收入的六分之一。该顶级域名提供免费注册，不靠域名注册挣钱可以靠广告。但这域名政策带来了大量的滥用，很多垃圾邮件与敏感内容都使用该顶级域名。

由 Freenom 运营的顶级域名 .tk、.ga、.cf 和 .ml 都出现在网络钓鱼域名分类的前列。这些国家/地区域名都归发展中国家所有，可能是为了域名注册的收入就不顾恶意注册带来的问题，但实际上纵容网络犯罪带来的损失远比域名注册的收入大得多。

除了免费注册的顶级域名外，像 .xyz 和 .icu 等顶级域名只收取几美元的注册费用，低廉的价格也使得它们成为攻击者的心头好。

恶意域名比例

MAD 为中位数绝对偏差，当异常值偏向平均值时 MAD 比标准差更能反应数据情况。

△ 各类域名在顶级域名中的比例排行

如上图所示，可以发现某些顶级域名的恶意比例非常高，例如 .zw、.bd 与 .ke。但其实这些域名的注册费用是 .com 的 4-14 倍不等，这令人非常诧异。经过分析后，这些域名很多并非恶意注册，而是被攻击者攻陷的恶意利用。因为网站的防护不到位，也存在更多的安全漏洞。

特别的是，.cm 在风险软件中排名第六，在钓鱼网站中排名第十二。可能是 .cm 与 .com 类似，犯罪分子将其用于网络钓鱼可以减少怀疑。

敏感域名

除了恶意域名外，组织还可能想要阻止敏感域名，如成人网站和赌博网站。

△ 顶级域名中敏感域名的统计

有些顶级域名中有相当大比例的域名都是敏感域名。尽管敏感域名的类别很多，但很多都是成人网站和赌博网站。

结论

绝大多数恶意域名都集中在少数顶级域中，这位研究与打击恶意域名提供了机会。基于顶级域名的信誉度也可以帮助对域名进行分类，如恶意或者良性。

参考来源

https://unit42.paloaltonetworks.com/top-level-domains-cybercrime/