【论文分享】过期域名剩余信任引发的潜在安全风险分析

互联网域名的注册是带有期限的，每天都有大量域名的使用权因过期而发生变更。然而，由于此类“易主”现象对于域名的访问者来说难以预知，域名在其使用权变更后，仍然能收到部分“老访客”的访问流量（即residual trust，“剩余信任”）。特别地，一些域名曾经被投入特殊用途（例如软件更新服务），其过期后的“剩余信任”将导致潜在的安全问题。

本次分享的论文发表于网络安全领域顶级会议IEEE S&P 2022，以攻击者的视角提出筛选“有攻击价值”过期域名的方法，并对过期域名的“剩余信任”滥用现象进行定量分析。论文作者团队来自美国Stony Brook University。

全文共2900字，阅读时间约8分钟。

01

【研究背景】

在互联网中，普通用户可以付费申请注册二级域名（例如example[.]com）。与购买一般物件不同，域名的注册过程并非分配终身所有权，而是为申请人保留在一段时间内的使用权。通常来说，如果一个域名到期而未经续费，那么它的使用权将被删除，并且可以被任何人通过注册重新获得。已有研究显示，仅在.com/.net/.org三个顶级域范围内，每天都有数万域名因过期而被回收使用权 [1]。

如果不通过实际的访问或查询，域名“易主”（即使用权发生转移）行为是难以预知的。举例来说，我们每天都要访问搜索引擎，但它们的域名明天还能否正常工作，或者是会不会变成其他的服务呢——我们只有明天再访问一次才能知道。这就产生了对域名的“剩余信任”（residual trust）：“老访客”不知道域名已经易主，以为它还是之前的服务，并因此仍然访问它。

对于一些曾经投入特殊用途的域名来说，这样的“剩余信任”是存在潜在安全风险的。例如，用于软件更新服务的域名，每天都会接收来自成千上万主机的自动更新请求；它们过期后可能会被攻击者重新注册并滥用，如下发植入恶意代码的更新文件等，带来严重的安全隐患。

因此，这篇文章从攻击者的视角出发，研究以下两个问题：

1. 哪些过期域名拥有大量的“剩余信任”，并因此存在攻击价值？

2. 这些过期域名有谁还在访问，过期前提供何种服务，是否可能被滥用？

实际上，在域名过期机制及“剩余信任”方面都已经有研究涉及。与已有研究不同，本文将范围限定在“有攻击价值”而非“有商业价值”（即过期后立即被抢注 [1]）的过期域名，重点关注过期一段时间后仍然能被注册的域名。另外，本文并不事先限定过期域名的风险类别（例如过期软件更新服务、过期浏览器插件域名 [2]等），而是先进行筛选再区别分析。

02

【研究方法】

本文研究方法分为两个主要环节：过期域名筛选、“剩余信任”与滥用行为量化分析。

1. 过期域名筛选

本文采用的筛选方法基于一个直观假设：过期之前访问量大的域名，在过期后可能也会存在较多的“剩余信任”。

作者使用Passive DNS数据估算域名的访问量，并对以上假设进行验证。Passive DNS可以被理解为一种域名解析日志，由大量的合作域名服务器将通过解析获得的资源记录上报聚合形成，能够一定程度上反映一个域名在某个时间段内被解析的次数和解析结果。

通过跟踪某天过期的一批域名，在Passive DNS数据中查询其过期时的解析量，以及过期被重新注册后两周内获得的解析量（图表1，各点分别代表一个域名）。经过回归分析得到：过期域名在重新注册后两周内的解析量平均约为过期时的1/10，因此，上述假设成立。

图表1：域名过期时（X轴）和过期后两周内（Y轴）的解析量关系

所以，域名过期时的总解析量成为域名筛选的重要指标。本文选择一百万（1M）作为阈值：筛选出过期时总解析量超过一百万的域名，此类域名在重新注册后的预期解析量超过十万，具有较多的“剩余信任”。

2. “剩余信任”与滥用行为量化分析

作者对筛选得到的过期域名进行重新注册，并搭建蜜罐服务器监听来访流量，包括HTTP(S)、SSH、Telnet、FTP服务。

然而，并非所有的来访流量都源自“剩余信任”：对于暴露在公网的服务器，每天都会有各类网络扫描器和爬虫（统称为bot）找上门，需要对这些流量进行剔除。本文根据前期经验设计了一系列判断规则，如：

• 请求结构：若User-Agent字段包含“bot”关键字，则判定为bot流量；

• 报文特征：若HTTP请求了常见漏洞利用脚本中的路径，则判定为bot流量；

• 流量来源：若流量的源IP地址位于公开黑名单中，则判定为bot流量。

• （限于篇幅未详细介绍全部规则，有兴趣的读者请参考原论文）

03

【主要发现】

1. 过期域名筛选

本文在一个月的时间段内，跟踪所有过期且被回收数小时后仍然可被注册的域名，从Passive DNS数据中查询解析量，最终共筛选、重新注册了201个过期域名。

2. “剩余信任”流量分析

1）来访流量的规模

本文为所有201个域名分别搭建了蜜罐服务器，共接收到来自550万源地址的6.5亿次访问。

图表 2：蜜罐服务器接收到的访问流量规模

随后，作者根据判断规则对来访流量进行分类（图表3），发现仅约50%的流量与“剩余信任”有关。

图表3：访问蜜罐服务器的流量标签类别

从域名的角度而言，不同域名收到的访问量差异较大：多的日均达百万次，少的日均仅数万次。另外，域名各自得到的“剩余信任”访客（以源IP计）占比也存在明显的长尾分布：多达95%的域名，各自的HTTP(S)访客中仅少于5%发送“剩余信任”流量，其余为bot（图表4中橙色线标注点）流量。

图表4：域名的HTTP(S)访客（源IP地址）类别累积分布

2）来访流量的目标服务（端口）

除搭建蜜罐服务的标准端口（图表5-左）以外，本文还观察到，大量流量去往8000（iRDMI）、53（DNS）、6600（Microsoft Hyper-V Live Migration）等非蜜罐端口（图表5-右）。

图表5：来访流量的目标端口分布

3）访客的持续性

当过期域名被重新注册后，一个自然的想法是：随着时间的推移，“老访客”会逐渐得知域名已经“易主”，与“剩余信任”相关的安全威胁也会逐渐缓解。然而，蜜罐服务器的访客（以源IP计）数量在长达4个月的时间范围内仅有少量衰减（图表6），因此过期域名的“剩余信任”将会长期存在。

图表6：部分大流量过期域名的访客（源IP）数量

3. 过期域名案例和潜在风险

图表7：部分曾投入特殊用途的过期域名

部分域名曾投入特殊用途（如图表7所示），被攻击者重新注册后可能导致安全风险，典型案例包括：

1）过期的API接口

如ipv6tracker[.]org，其过期前提供P2P下载网络的种子服务。攻击者如果重新注册，将可能收集到大量P2P终端主机信息，并向主机下发恶意种子及文件。

2）过期的恶意软件主控端

如facecommute[.]com。攻击者如果重新注册，将可能监听主动连接的恶意软件感染傀儡机并向其发送攻击指令。

3）过期的权威域名服务器

如tianxingmeng[.]com，过期前为权威域名服务器。攻击者如果重新注册，可能劫持以此域名为权威服务器的所有域名。

4）过期的“镜像”域名

如leon4399[.]com和leon5044[.]com。“镜像”域名常被非法业务利用。例如，为逃避基于域名黑名单的阻断机制，赌博网站可能会每天变换老域名的构造或注册新域名，并将所有域名都指向同一个网站（即形成“镜像”）。攻击者如果重新注册，可能伪装成与现有镜像相同的服务，并实施钓鱼攻击。

04

【结论】

域名的“剩余信任”在某些情况下可能导致潜在的安全风险。本文从攻击者视角出发，提出了一种简单直接的方法筛选“有攻击价值”的过期域名，并搭建蜜罐服务器对其流量进行长期监听。在统计维度方面，本文发现由“剩余信任”产生的流量规模较大，并不会随时间出现大幅衰减。在域名属性方面，证实攻击者可以实际注册一些投入特殊用途的过期域名，存在潜在的安全威胁。

05

【个人观点】

文章的实验设计细致（例如设计详尽的规则识别bot流量），对照实验和经验型学习完备（例如搭建空白蜜罐服务器、假设验证过程等），这在我们未来的研究过程中是非常值得参考和学习的。

相较而言，文章后半部分对于来访流量的分析维度（规模、端口、稳定性等）较为常规，对于没有搭建服务的端口（被恶意软件感染的机器可能会主动连接这些端口）流量缺乏进一步分析也稍显遗憾。对于“剩余信任”引发的安全问题，以多个案例证实存在“潜在”安全风险，但到实际利用或许仍然存在距离（例如，需要分析恶意软件通信协议才能实现控制）。

原文链接

https://www.securitee.org/files/domainreputation_oakland2022.pdf

参考文献

[1] Tobias Lauinger, et al. Game of Registrars: An Empirical Analysis of Post-Expiration Domain Name Takeovers. USENIX Security 2017

[2] Chaz Lever, et al. Domain-Z: 28 Registrations Later Measuring the Exploitation of Residual Trust in Domains. IEEE S&P 2016

编辑&审校|刘保君、张一铭

原文始发于微信公众号（NISL实验室）：【论文分享】过期域名“剩余信任”引发的潜在安全风险分析