【歷史更新記錄】
- 2017-01-10原始版本
- 2017-01-16補充了對服務器IP地址同源性的分析,此處分析指向性較弱,僅為完備性考慮
概述
在奇虎網路安全研究院([email protected]),我們建立了一個基於DNS的异常流量監測系統,每天會檢出若干异常流量以及對應的功能變數名稱/IP。通常這些被檢出的功能變數名稱/IP都屬於地下產業鏈條。
但是,我們注意到一些代表知名公司的字串也出現在這些被檢出的功能變數名稱中,包括360,ali,baidu,cloudflare,dnspod,google和microsoft。通過分析,我們認為這是有人冒用大站名義,為賭博、色情、私服等地下產業提供網絡基礎設施服務。
這一基礎設施結構錯綜複雜,運營時間長、支撐能力强、實際支撐的黑色灰色網站數以萬計,已經構成了一個成熟的地下產業生態系統。
功能變數名稱和所仿冒的大站品牌
我們檢測到的這類功能變數名稱如下表。
如果只看功能變數名稱,這些功能變數名稱看起來非常像是大站提供的CDN服務。但分析可以看出,這些功能變數名稱實際是某種基礎設施,為賭博、色情、私服等地下產業服務。
基於上述功能變數名稱的錯綜複雜的網絡基礎設施
通過passvieDNS,我們能够看到此類功能變數名稱在DNS的解析記錄。除了直接向最終用戶提供服務之外,它們還前後CNAME到其他功能變數名稱,構成複雜的基礎設施網絡。這個網絡有真實的地下產業用戶,部分節點運營時間長、用戶訪問量大、所承載業務類型明確,成熟支撐著黑色、灰色產業鏈。
這些仿冒CDN網站和觀察到的部分前置/後置網站清單如下:
這些基礎設施網絡背後的關係錯綜複雜,例如:
- 在上述功能變數名稱中,yunfangyu1/2/5/7.com分別出現在仿冒網站的前面和後面,而這一組yunfangyu1/2/5/7.com共亯了相同的whois注册資訊;
- cdn88.net和cdn11/22/33.net(未出現在錶中)的whois資訊注册郵箱地址是[email protected],而這個microsoftcdn.com則是這個網絡的一個節點。
- 整個基礎設施還在持續的更新,其中google-yun.com,google-cdn-all.com注册於本文寫作(2017.01.03)之前的一周內。
對該基礎設施網絡及其用戶的評估
我們基於這些功能變數名稱從PassiveDNS中選取相關的記錄,匯總得到如下數據,並從功能變數名稱的穩定性、子功能變數名稱多樣性和訪問量,來評估該網絡。
![]
- 穩定性方面,從上述表格可以看出,除了googlecdn.win和microsoftcdn.com分別在2016-02-06和2016-08-03停止活躍之外,其他的功能變數名稱都持續活躍到寫本文的時間,並且我們認為它會繼續活躍下去。應該說整個規模的活躍時間還是非常穩定的。值得一提的是前文述及[email protected]注册了cdn88.net,改頭換面後在上述網絡中持續活躍。
- 子功能變數名稱多樣性方面,整體來看,子功能變數名稱並不多,最多的alicdn-kr.com也僅有284個子功能變數名稱。這一特點顯著區別與正規的CDN服務器。
- DNS訪問數量方面,各功能變數名稱之間偏差較大。最繁忙的alicdn-kr.com的訪問總次數達到了十三億次,這是一個巨大的數位。為了更好的理解這個數位,我們使用tv.cctv.com(央視網)作為基準做對比,如下圖,黑色的線是alicdn-kr.com,藍色的線是tv.cctv.com,可以看出alicdn-kr.com的DNS請求量大約是tv.cctv.com的兩倍。
另外,觀察每日業務高峰點,alicdn-kr.com每日的峰值大約是每晚的23點到0點。這個時間點與其所承載的業務類型(賭博、色情網站在淩晨更為活躍)也是比較吻合的。
如前所述,該網絡的主體用戶是賭博、色情、私服網站。整個網絡的用戶群非常龐大,一些數位:
- 用戶包括24033個功能變數名稱
- 及其下屬的53699個子功能變數名稱
- 最早的用戶是vip1000.cdn88.net,始於2015-11-22
- 單一最大用戶是7966.ym009.com,累積DNS訪問次數93192746
IP基礎設施
對這些功能變數名稱的解析IP,考察其國家分佈,主要分佈於美國,香港,中國及印度。其中,分佈於美國,香港和我們之前看到的濫用泛解析構建站群(DWA)的業務分佈很類似。在國內的IP主要集中在資料中心,而往往這些資料中心都宣稱提供所謂高防服務。基於這些資料中心,多少能够獲得一定的抗DDoS能力。
這些IP的AS分佈相比於地域分佈來說較為分散。具體分佈如下圖所示:
值得注意的是,在排名靠前的AS8075 Microsoft Corporation以及AS45090 Shenzhen Tencent Computer Systems Company Limited分別屬於微軟公司以及騰訊公司。使用這兩個AS的功能變數名稱主要是googleyuncdn.com以及microsoftcloudcdn.com。這兩個功能變數名稱還在不同的時間段分別使用了AS58593 Microsoft(China)Co.,Ltd,AS15169 Google Inc以及AS45102 Alibaba(China)Technology Co.,Ltd等多個大公司的服務。
如果沒有仔細分析,乍眼一看,microsoftcloudcdn.com使用Microsoft的AS看起來是不是很和諧?然而它們的確屬於不同組織,並且業務範圍一個陽光道一個獨木橋。非常有意思的一個現象。
背後的團隊
從這些功能變數名稱的whois資訊來看,它們應該分屬若干個團夥。
上圖中,有相同著色儲存格表明是同一組人注册的功能變數名稱,無法判定歸屬的功能變數名稱未著色。考慮到前面提到的該網絡的複雜性,也許上錶中的若干小團夥能够歸結到一個大的團夥。
註冊時間最早的microsoftcdn.com可以追溯到2015年5月4日,最晚的google-cdn-all.com則注册於2016年12月29日。從功能變數名稱註冊的有效期來看,多數功能變數名稱註冊的有效期都是一年,但是cdn-cloudflare.com與jiasucdn360.com則分別為5年和7年。看的出來,這些人是準備把這項工作長期做下去。
在上述21個功能變數名稱中,使用隱私保護的功能變數名稱有5個。利用360netlab的whoisdb資料庫(更多的數據請參見附錄1),我們對未採取隱私保護的注册人進行反查,基本排除專注功能變數名稱買賣生意“米農”的可能性,並且注意到不同的注册者往往專注於各自細分的業務領域:
- 比如“good good”,“jie ke”注册了大量的賭博業務功能變數名稱
- 而“qiu yang”則專注於注册色情業務功能變數名稱。
- 還有一些專門注册此類服務網站的,比如“Jack Tom”,“google-cdn”等。除前文提到借用大站名義的功能變數名稱外,還有一些功能變數名稱有很强標識性,比如“高防”,“防DDoS”,“防CC”等。
2017年1月16日更新:文章原始版本發佈後,有讀者提及希望能分析這些服務器的IP地址共亯情况。出於完備性考慮,我們補充了以下部分,具體情況如下圖所示,有以下結論:
- 大多數的功能變數名稱服務器的IP地址不多、重疊度也較小,本環節的結論指向性較弱,只能作為已有强證據的輔助增强,不能獨立構成指向性的結論;
- 有兩組功能變數名稱(cdn-baidu-google.com: cdm-google-baidu.com,googleyuncdn.com: microsoftcloudcdn.com)重疊度在25%左右的。其中第一組功能變數名稱分析結果增强了whois數據中對應功能變數名稱同源的判定;第二組則由於googleyuncdn.com使用了隱私保護,沒有將其與microsoftcloudcdn.com歸為一組。
結語
在中國特色下,賭博、色情等業務的專門網站使用抗D服務甚至是黑灰產專用的網絡基礎設施並不罕見。但是包含“大站”字串的功能變數名稱則比較讓人感興趣。本文對這些包含“大站”字串的功能變數名稱從whois資訊,PassiveDNS中的活躍時間,使用IP等角度對其進行了分析。能够得到幾個比較明確的結論:
- 這些功能變數名稱提供的服務穩定性較好,它們基本都能够較長時間的比較穩定的服務。這一點也與釣魚類型的功能變數名稱完全不同。
- 由於要提供比較穩定的服務,所以它們使用的基礎設施也更為正規和穩定,這也不難解釋為什麼它們會使用大公司的IP地址。
- 排除這些功能變數名稱用於釣魚的可能性;
- 排除這些功能變數名稱來自專門做功能變數名稱生意的米農(功能變數名稱販子)的可能性。推測很可能是灰色業務自建網絡,或者其他專門為灰色業務提供服務的供應商。
希望通過本文,能够對灰色業務及其基礎設施有一個新角度的認識。對於這些以“大站”的名義為灰色業務提供基礎服務的功能變數名稱我們會持續跟踪,觀察其後續發展情況。