PDF《恶意网站图谱》

恶意网站图谱

1 恶意网站图谱 世界上最危险的域名 恶意网站图谱 世界上最危险的域名 目录 由: 芭芭拉・凯,国际信息系统安全认证协会信息 系统安全认证专业人员 ,安全设计集团 保拉・格雷夫,McAfee Labs? 研究中心主任 简介

3 主要发现: 恶意网站图谱 IV

4 为什么图谱很重要

6 犯罪分子如何滥用顶级域名

7 方法

9 关于定级的一些注意事项

11 分级明细

12 变化中的安全威胁

21 来自顶级域名注册商与运营商的评论

23 结论

26 恶意网站图谱

3 如果你事先知道在特定顶级域名中五分之三 的网站是有风险的,你就会重新选择一个地 址下载你想要的照片了.

例如,尽管越南越 来越受到旅游者的青睐,在越南(.VN)注 册的网站却应该被列为禁飞区. 今年,.VN 进入了我们最危险顶级域名的前五名,据我 们跟踪,有58%的网站包含恶意或潜在危险 内容和行为. 致富之源还是僵尸网络? 下次当你搜索名人照片或 如何 提示时,要 特别注意顶级域名,就是搜索结果中URL的最后几个字母.在今年的恶 意网站图谱研究中,迈克菲评估了2700万个现存网站,发现网站风险 空前上升了6.2%.如果用户在点击的时候不多加小心,简单地浏览一 个网页都会付出大大出乎他们意料的代价.今年,有更多的网站出现 恶意代码,这些代码能盗取密码与个人信息,利用浏览器漏洞或者私 自安装程序,使电脑死机. 简介 ? 恶意软件―损害系统、盗取数据的代码在 其他电脑上进行恶意行为(包括按键记录 程序、盗取密码及僵尸工具包) ? 浏览器攻击―攻击你的电脑以及利用软件 漏洞插入恶意软件. ? 钓鱼―看上去合法、但却专门 钓取 信 息或者安装恶意代码的虚假网站. ? 垃圾邮件―注册后会收到很多商业广告 邮件或者垃圾邮件. ? 危险链接-一些带链接的网站会连接到恶 意网站,还有的网站和其他网站有可疑 关系,例如非正当主机服务. 带.INFO与.CM 顶级域名的 危险网站与安全网站数量差 不多, 而带.VN域名的网站中 危险的较多. 我们是根据每个网站的多个特征来决定其风险水平的. 由McAfee? Global Threat Intelligence? 提供安全威胁评测. 浏览器攻击 大容量的商业邮箱 (垃圾邮件) 风险商誉 (文件、联网、网络和邮箱引擎) 与其它危险 网站有关联 广告软件/间谍软件/ 木马/病毒 咄咄逼人的弹出广告营销 恶意网站图谱

4 ? 风险在增加―危险网站的总体平均危害 性从2009年的5.8%上升到2010年的 6.2%.2007年和2008年,我们发现 4.1%的网站被定级为红色(避开)或黄 色(慎用).尽管我们在头两年采用了不 同的方法,走势图―向右向上―的趋势似 乎一直保持.网站越来越难安全导航. 在对于顶级域名相关风险的第四个年度分析中,迈克菲发现与去年相 比,网站风险呈整体上升趋势.我们发现一些原本就有风险的网站风 险水平仍在上升,例如.INFO;

去年最具风险性的几个网站有了很大改 善,特别是新加坡(.SG)和委内瑞拉(.VE);

以及一些新被关注的地 区,包括越南(.VN)、亚美尼亚(.AM)和波兰(.PL). 注意: 所有的风险数据都指加权风险,除非另加注明. 主要发现: 恶意网站图谱IV ? 前五名最具风险的顶级域名―31.3%的加 权风险使.COM(商用―最大流量的顶级 域名)成为最具风险的顶级域名.去年 的第一名.CM(喀麦隆)今年下降到第四 位,而.INFO从去年的第 五名上升到第二 名,成为了一个更具风险性的网站.五大 风险注册比例最高的顶级域名分别是: .COM( 商业广告 ) 31.3% - .INFO( 信息 ) - 30.7% .VN(越南) 29.4% - .CM(喀麦隆) 22.2% - .AM(亚美尼亚) 12.1% - ? 全球分布―在前20个最危险的顶级域 名中,有7个来自欧洲,中东和非洲 (EMEA)地区,包括新进入前20榜单 的亚美尼亚(.AM)和波兰(.PL).亚 太地区以6个危险顶级域名位列第二,而 通用域名,如Network(.NET),占了前 20中的5席.唯一进入前20的美国域名是 United States(.US),位于第14.

7 6

5 4

3 2

1 0

2007 2008

2009 2010 风险网站的比例 恶意网站图谱

5 ? 领先的通用域名―与地区性域名的风险性 相比,通用域名与赞助域名具有最高的平 均风险.这些顶级域名以7.9%的比例超出 总体平均水平,而三个地区性域名的平均 风险都低于6.2%.亚太地区从去年的13% 下降到4.9%;

美国平均2.7%;

欧洲、中东、非洲地区仅1.9%. ? 一些巨大进步―新加坡(.SG)从去年的第 10下降到了今年的第81,成绩可嘉;

委内 瑞拉(.VE)从21下降到了今年的88;

菲律 宾(.PH)从2009年的第6下降至第25. ? 需要注意―我们的评估对象仅包括现存网 站数量达到或超过2000的顶级域名.但是,如果我们对所有顶级域名进行评估, 两个网站数量较少的顶级域名会进入我们 的前5名: 塞内加尔(.SN)将以33%的风险比例 - 位居第一,原因也许是它没有注册限制 (http://en.wikipedia.org/wiki/.sn). 英属印度洋领地(.IO)将位居第五, - 风险性为11.5%.它之所以成为流行的 顶级域名,是因为它没有第二级注册限 制,限定可以出现在TLD前的名字,因此 可能被盗用: .IO 主要用于如eugen. io,moustach.io,或pistacch.io等域名分 割中,也用于文件主机服务 (http://en.wikipedia.org/wiki/.io). ? 最清洁的域名―五个风险注册最少的顶级 域名分别是(每个域名的危险网站数量都 少于或等于0.1%): .TRAVEL(旅行和旅游行业) .02% - .EDU(教育) .05% - .JP (日本) .08% - .CAT( 加泰罗尼西亚语 ) .09% - .GG(格恩西) .10% - 注意: 分级是基于总体评价,而不是对单独网页 进行分级.用户应该知道在通常安全的域名下的 单个URLs中仍会存在风险;

例如,我们在域名 为.EDU(教育)的网站中就找到一些危险的URL. ? 政府域名失去领导地位―2009年最安全的 顶级域名Governmental(.GOV),今年的 风险性仍然仅为0.3%,但排名下降到了第 23位.我们把所有发现的危险网站都定级 为红色. 恶意网站图谱

6 ? 对域名注册商和注册社区来说,我们想在 这份报告中感谢那些为减少欺诈性注册和 关闭恶意网站辛苦工作的人们;

我们也希 望这份报告能鼓励其他人向那些采用合法 手段应对挑战的领导们学习. 其中一个 回报是风险的减少.过去,我们致力于为 注册商提供 最恶劣罪犯 名单,通过研 究得出风险数据.随后,我们在他们的顶 级域名中看到危险网站的数量有了显著减 少. ? 对网站所有者,我们希望该报告能在他们 决定其注册地址时提供帮助. 迈克菲带着三个不同的目的,针对三个不同的团体发布了恶意网站图谱 报告: ? 对消费者和企业 IT 经理,我们希望报告能 像一张现实支票,时刻提醒他们危险遍布 整个网络,数量日益增多且越来越复杂, 即使最有经验的用户都需要使用全面、及 时更新且带有安全搜索功能的的安全软 件. 为什么图谱很重要 恶意网站图谱

7 访问某些顶级域名比访问另外的更危险. 诈骗分子和黑客常常出现在那些最方便进 行交易或能利用迷惑性的拼写和逻辑关联 骗取利益的地方.例如,由于在.COM地址 中很容易落下 O 字母,不法分子就会在 Cameroon(.CM) 注册地址 www.mcafee. cm,希望能跳过那些担心安全问题的网民们 顶级域名是网络的组织者之一,一个网站的最后几个字母代码能告诉 我们它是在哪里注册的.也许每个人都认识.COM 和.GOV,但还有很 多顶级域名(TLD)对许多人来说可能很陌生,例如.AM代表亚美尼 亚,.CM代表喀麦隆.骗子就是从无知中获利的,而且许多消费者在搜 索时从来不注意顶级域名的后缀.许多消费者都会点击第一个看上去有 意思的结果,而犯罪分子有足够的时间为搜索引擎优化自己的网站,这 样消费者就掉入了骗子们的圈套. 犯罪分子如何滥用顶级域名 的视线进行非法交易.例如,网站很有可能 植入一个流氓反病毒程序,希望消费者认为 这是一个警告: 你电脑中有病毒,请安装 此软件. 这种注册商辛苦防范的行为被称为 误植域 名 .误植域名涉及各种各样的网站:如从用 户输入错误中获得广告收入的网站,向你推 销会窃取个人信息或安装恶意软件的成熟的 钓鱼网站地址的停泊网站等等. 最危险的软件(有时被称为 路过式软 件 )是用户看不见的,用户不必点击或有 意识地接受下载就有可能被感染或攻击.大 多数恶意软件和攻击都尽力不被监测到.消 费者可能数天或数周后仍未发现问题,而这 时候犯罪分子已经清空了其银行账户,盗取 了其在线游戏账户,传染网络 好友 ,或 者为僵尸程序略过中央处理机周期. 同样地,普通用户并不知道 .COM 网站的主 机到底是在美国还是在中国.除非他们使用 评级咨询工具,否则访问者需要做一点额外 研究来决定一个网址适不适合访问..VN代 表的是越南还是委内瑞拉? 答案能使访问的 风险度有很大差别. 恶意网站图谱

8 当好人在努力改善网络治安和注册监管1 时, 犯罪分子正对灵活的软件与基础结构(见僵 尸工具栏)进行投资.在锁定一个顶级域名 后,他们会很快将他们的网站入口转移到包 容性更强、更灵活的主页,而不需要重新定 位服务器或者更改内容. 顶级域名仅仅告诉我们网站是在哪里注 册的.网站本身,包括其内容、服务器和 主人可以在另外的地方.现在有种趋势 是,犯罪分子把恶意内容放在免费的消 费者文件分享服务中,然后在需要的时 候将内容提供给顶级域名.由于存储在 BitTorrent、YouTube、RapidShare等服务中的 文件时常改变,因此管理该内容很困难. 影响犯罪分子选择顶级域名的因素有: ? 最低的价格―在同等条件下,骗子喜欢更 便宜的注册,批量折扣以及慷慨的返还政 策. ? 缺少监管―在同等条件下,骗子喜欢 不 问问题 的注册.骗子需要提供的信息越 少越好.同样地,骗子喜欢行动缓慢的注 册商,如果可以的话,甚至不要注意到危 险域名. ? 注册容易―在同等条件下,骗子喜欢批量 注册.尤其对于钓鱼者与垃圾邮件发送 者,因为他们特别需要大容量的网站来抵 消顶级域名管理者的快速记录.

1 迈克菲2010威胁预言,第9页,可登陆http://www.mcafee.com/us/threat_center/white_paper.html, 提供多种语言下载

2 http://arstechnica.com/security/news/2009/01/two-months-after-mccolo-takedown-spa........