作者：吴影  刘辉辉

2020年伊始，一种名为“COVID-19”的新型冠状病毒在全球肆虐，而在网络世界里，病毒也没闲着。借助于真实世界里的病毒肆虐，网络攻击者趁机传布恶意软件，大批用户“惨遭习染”。这批被习染的用户，借助于“黑域名”的援手，持续在网络空间内对病毒“肆意传布”，那么“黑域名”是什么，对我们有什么影响，本篇将为各位逐一路来。

黑域名是什么？

“黑域名”通常指的是如下两种类型的域名：

1. 通过非正规渠路采办、来历不明的域名；
2. 恶意软件用于在僵尸网络中实现治理及节造等职能而使用的域名；

这里我们所指的“黑域名”特指第二类，即恶意软件（如挖矿病毒、僵尸网络、勒索病毒等）通过“黑域名”实现被节造终端与节造服务器之间维持通讯的域名。“黑域名”还可分为静态和动态两类。

静态黑域名常用于挖矿、勒索病毒等网络攻击行为。

动态黑域名常用于僵尸网络或C&C等网络攻击行为，时时使用DGA算法(Domain Generate Algorithm)天生。

对恶意法式而言，固定的恶意IP地址极易被安全设备检测并阻断，无法实现荫蔽与有效地节造。所以，僵尸网络与C&C攻击在设置恶意软件时极力预防使用固定IP地址作为被控终端与服务器端的衔接。在法式中时时使用DGA算法来天生随机域名(黑域名)，以绕过常见的安全防护伎俩，实现对被节造端持续、有效的节造。

通过DGA算法天生的黑域名在互联网中时时无法接见，由于恶意攻击者在恶意软件运行时，才对域名进行注册，所以我们发现的黑域名时时无法直接进行接见。

黑域名与通常域名的区别有哪些？

 现用现注册

由于注册域名必要用度，故恶意攻击者时时在黑域名打算上线前才注册域名，在此时黑域名才可在互联网环境中接见。

 使用功夫短

由于现有安全防护措施对网络流量中的行为进行检测，发现可疑要求后将上传云端安全治理中心。所以在黑域名生效使用后，现有检测、防护设备可急剧鉴别并广播防护规定实现有效阻断，为了预防长功夫动态域名的露出，恶意攻击使用一个特定黑域名的功夫都不长，通过在1-7天左右。

 统一款恶意软件硬编码多个黑域名

统一款恶意软件在造作时可能会内置多个黑域名，以提高成功衔接僵尸网络的几率。

黑域名的常见通讯过程是怎么的？

当下互联网环境中，时时使用黑域名来实现暗藏僵尸网络中主控端真实IP，因其使用域名的动态性，可绕过基于特点检测的安全防护设备防护职能。

以动态黑域名为例，注明黑域名的使用场景及使用过程。

1、习染并天生随机域名

恶意人员通过恶意邮件、网络入侵等伎俩，向用户推算机投放恶意病毒，开释C&C被控端软件。被控端软件部署后，凭据DGA算法天生伪随机域名。

2、注册随机域名，被控端反向衔接主控端

恶意攻击者可提前注册部门黑域名，在恶意法式习染终端后使用DGA算法天生伪随机域名池，使用池中域名逐一贯DNS服务器要求对应的IP地址，直至成功获取IP地址后即进行C&C会话衔接，进行反向衔接。

恶意攻击者可提前注册部门黑域名，在恶意法式习染终端后使用DGA算法天生伪随机域名池，使用池中域名逐一贯DNS服务器要求对应的IP地址，直至成功获取IP地址后即进行C&C会话衔接，进行反向衔接。

对于汗青上发现的黑域名示例：

• zugzwang.me
• tr069.online
• tr069.tech
• tr069.support
• zvdhcktzjoz.biz
• 1cgqypq2o9mf4d3pgt0100twa.net
• d7gdxaph63ks231iac1gfmf0i.biz
• pwmdyyj.info
• sxekhtn.net
• bbhxyjv.org
• ihbgynr.biz
• ywqksthri.net
• ……

黑域名的鉴别

一些第三方威胁谍报公共平台能够进行黑域名的协助确认（以下截图以微步在线威胁谍报社区为例）：

同时借助于我司RG-BDS大数据安全平台、RG-BDS-TSP流量探针以及RG-APT高级威胁检测系统，均能第一时刻发现黑域名的解析与接见，并进行告警。

RG-BDS大数据安全平台统一告警：

RG-BDS-TSP流量探针告警：

RG-APT高级威胁检测系统告警：

黑域名防护常见场景

某客户存在被恶意软件习染的主机，向表网发送异常的黑域名衔接要求，上端运营商、上级单元等机构发现客户处存在的异常流量，同步客户处置要求。

除了实时对遭逢恶意软件习染的主机进行病毒断根等安全加固措施表，可使用iSlot官方网站全新NGFW的DNS过滤职能（或DNS洗濯职能），进一步节造黑域名的异常接见，将有关风险降至最幼。

常见拓扑如下：

前置前提注明：

1. 防火墙可能正常衔接公网；
2. 防火墙必须已采办授权，且授权仍在有效期内；

道理注明

iSlot官方网站全新NGFW的DNS过滤职能，顾名思义，防火墙在内部中毒主机接见黑域名时的DNS交互阶段起节造限度作用。

在防火墙进行DNS过滤过程中：

1. 防火墙必要与云端服务器进行交互；
2. 当第一次鉴别到某个域名（如果为域名A）的解析要求时，防火墙会在转发DNS报文的同时与云端确认域名分类，并纪录在防火墙的缓存信息中；
3. 在缓存信息有效的前提下，第二次以及更屡次要求鉴别到域名A的解析要求时防火墙能够直接进行处置；

以防火墙对某个域名（如果为域名A）进行DNS过滤的工作流程的描述，可用下图简述：

具体配置

1、用户根基上网配置：

凭据现实需要，将防火墙部署到网络中，实现根基上网需要；

2、防火墙授权注册与激活：

依照防火墙授权注册流程实现注册与激活，激活实现后确保当前设备仍处在授权有效期内，如下图所示：

3、配置DNS过滤模板：

通过Web 进入 对象配置--DNS过滤模板，设备默认已有DNS模板“default”，可点击右上角的增长按钮，新增一个模板，如本例增长的模板“dns_filter”：

配置选项注明：

阻断发送到botnet C&C的DNS要求：防火墙设备在导入授权后，会将云端的Botnet地址库、C&C地址库下载到本地；开启此职能后，当DNS要求的域名在Botnet地址库或C&C库中，DNS要求将直接阻断，不会进行后续处置；

基于安全中心分类的过滤器：将DNS要求的域名发送到云端，云端会返回要求的域名的分类信息，用户可基于分类了局，对分歧的分类执行分歧的作为；

静态域过滤器-域过滤：可手工界说一个域名列表，报答指定对特定域名的处置作为；

静态域过滤器-表部IP阻断清单：与域过滤类似，可手工界说一组IP列表，当域名解析出的地址在该地址列表领域内，报答指定处置作为；

可选项-当产生网址分类谬误时允许DNS要求：开启此职能后，当要求的域名发送给云端，云端暂未对其进行分类，或者防火墙与云端无法正常通讯时，用户的DNS解析报文可正常转发；关关此职能后，如出现域名没有分类，或云端衔接异常时，DNS报文将不进行转发。

可选项-纪录所有DNS查问及相应日志：开启此职能后，可同时纪录DNS的要求与回复内容。

推荐必须开启的职能选项：阻断发送到BotnetC&C的DNS要求，基于安全中心分类的过滤器（务必凭据现实必要对特定分类的作为进行批改与确认），可选项-当产生网址分类谬误时允许DNS要求。

4、配置SSL深度检测模板

在防火墙6.0软件版本上，为了提高安全性，在安全战术开启UTM职能时，要求必须选择SSL/SSH深度检测模板。设备默认已内置SSL深度检测模板，但默认模板中城市对SSL、SSH和谈进行代理检测，在现实利用中可能导致出现业务异常。因而如现实场景中没有SSL加密内容的解密需要，必要沉新设置一个不加密检测的SSL模板。

配置步骤：通过WEB方式进入 对象配置--SSL/SSH深度检测模板，点击右上角新建按钮，创建一个新的SSL/SSH深度检测模板，如下图新建的SSL/SSH深度检测模板“no_ssl”：

新建的模板中，将“查抄所有端口”以及“HTTPS”等和谈后的开启选项全数关关即可。

5、安全战术中挪用DNS过滤模板

通过Web界面，在战术设置--IPv4战术中，对现有战术进行调整。如下图所示，在对上网上网的“安全配置”进行设置后，挪用DNS过滤模板“dns_filter”以及SSL/SSH深度检测模板“no_ssl”：

成效检验

通过防火墙下PC尝试解析黑域名，查看防火墙阻断成效，在防火墙上通过查看日志以及内表网接口抓包方式确认成效。

1、本案例中使用“v.y6h.net” “lpp.ackng.com” “loseyourip.com” 3个黑域名进行测试，（以下是使用VirusTotal工具验证所测试的3个域名风险性截图，确认属于高风险域名）：

2、为确保成效，强造测试PC使用常见DNS服务器（案例中使用114.114.114.114 DNS服务器）对风险域名进行解析

测试注明：

a)参数“-qt=A”为nslookup的补充参数，意为强造进行IPv4的域名解析；

b)号令最后的地址，意为强造使用该地址作为DNS服务器；

c)每次测试前，均使用号令“ipconfig /flushdns”清空DNS缓存，预防缓存影响测试了局。

3、防火墙端阻断成效日志：

防火墙日志注明：

a)作为为“block”且新闻字段显示“Domain belongs to a denied category in policy”，批注该DNS报文是通过DNS分类伎俩被阻断；

b) 作为为“block”且新闻字段显示“Domain was blocked by dns botnet C&C”批注该DNS报文是匹配到本地的Botnet C&C库被阻断；

4、防火墙内表网报文情况：

（截图左侧为防火墙内网口报文，右侧有防火墙表网口报文）

其他当苦衷项

1. DNS黑域名过滤职能仅限V5.2-R6.0平台版本使用；
2. 当防火墙设备没有授权时，云端分类库将无法使用。
3. 设备治理域中的治理地址必要可能与表网正常通讯，蕴含域名解析与自动向表的接见；