2017先知白帽大会议题ppt dns中的奇葩数据解析_360

1、DNS中的“奇葩数据”解析关于我们 360网络安全 数据 挑选数据，产出数据，数据分析与挖掘 部分开放平台 PDNS： DoS监控： 全网扫描监控： 开放数据：亏佳 C-l 阿里云 . J 匣先知，心 ，个 DGA EK MalConnMira i Scanner Mirai C2 DRDoS ReflectorNetlab OpenData ProjectBy Network Security Researc h Lab at 360Des

2、cript ionThe Netlab OpenData pro ject was presented to the public first at ISC 2016 on August 16, 2016. We curren tly provide multiple da扫 feeds. including DGA, EK. MalCon, Mrrai 一 Scanner and Mirai C2, and DRDoS Reflector.000we share these data feeds to the security commun ity, looking forward to I

3、mprove the cyberspace security. And contributor are welcome to provide us more data to expand the diversity of current data feedsC)创新先知先行开放 D. I / Outliner Domain DGA DNS suffix 组合 IDN域名 IP Sinkhole NXDOMAIN 特殊用途IP 开源情报（OSINT）C-l阿里云亏佳匣先知 “奇葩Domain” 先看几组域名xma wh f g l b c m . y o u q p z 七 q i mf v .

4、 y o uv o f i z wd p s c v u s n w . y o u a d i x j v a mwe p 5 yr n . y o u f i k z jr u . y ouo b w j fr c x e b o d . y o u vwhwi j l s uo5ql kv5wct 0vc 2t vd . c nn . co m qw4k oot xr t chl t j s l a t qv 5umba . c oma ks mc欢 wt g . comxb l nr f zxs 沁 r uof hademmga t j l ro q51 0k j s hs qg f

5、f c 3oh . com l j f w0 j dq j 331t cn e l ps csawc 4a . c om i ks 4z lf r r a nne z31 gzs c 50zyea . comJo 5 9 4d e 3 0e 8 7 8a 21 1 a 56c 90 a c a b 08d e 7a d c . c c hc f 35c 45 2 f c 7 4 4b 3 6 6 537 7 4b 05859d 550 2 . c nu6f28440b8649db41985elbf036dd65226.cc o52946f088a5dc2f51985f57blcd70f2e0.

6、ccp78 f7 5b 5dba e 6f 80a 677 6 2f 51 e 8c 2be 058 . wsh e 61 4e b 5 5d 0 9 3 9 77 f 6a a 9 5826 71f d d 6 4 f 6 . c no 6 f f a 5 d 75a 1 47c 1 89a 80 4 9 0b b 96 c 3 35a f 0 . t o e2790713da0820b43fb0a4c85a734a22fb.cc1 8 6 5 4e c e a ua 8a 5 t 22e t 2 / 3 2a be dba 9 U 2 t 6 . ws c c d 4c a b b 8 b

7、 d l 45 46a f 2b f 4c 3a a c a 91 0 9 3 . ws kl a 9 b 8 bb b l d 6567d 55c 898 f 4 4 2 c 46 7 80 5f . t kffd30a8f13e0bll 4f364bbdlecf8c9flcd. en h7372c048d9d661blca07514d6c0005967.ine 4e 38d f 5e 87a 39c 28 4d 1 07b 931 7 e 3e f f 97 . t ow0 6b 91 80d 4 2 30 9a 5b 0a e 21 956 f 8881 d 7d 4 . t oh 05

8、b a e b 41 e 7 2d 3 6 86a d 9913 d 7 4c 3 f 83635 . c nj v j y g z xr u n d q k . y o umi t nw七f xwtlb2 ll qga cwq bc . com,a f p cr z e a . y o u r wc y o 七 o b kw g z we . y o u o d u ke i t x z f q l . y o ue k j z d n q . y o u mmmz g b o vv h iri c . y o ua i o 5 we 七n 七a yr d . y o u c u g mp

9、l y n . y o ugv r wn4huo 4i h O j c wfl t odf ba me . c om 1 4dv r 5氐 pd2a j r p he cq 0gpvqwf . c om a 2 k j i 42r y3ue qi 七t yrr c f r cgpb . com f s nf zc zwv 33d3nyu5x r gzyt dl d . co mOmzd2hi wr pggxxl wgrs mv 0i l 5a . as k. of3 y4pe r r l v 3kyqy2 4qel n2knd . co mcom D. I / l i f e . c h i

10、n a . c o m . e n . y o u d wu t y x s z u z i wv k k . y o uf hr godps dt i cf dut ut s i i ur f hh . bl ogge r . com 4v d2l of vx3 4 yw2zc l bqg 32zyuh . com开放创新先知先行 r e udbn zvds 25o k50l r r vnt uxde . ao. com“奇葩Domain” DGA Malware Example: Dyre 垃圾站群 批量购买二级域名 前缀生成器生成子域“奇葩Domain” DGA Chrome 探测 Pa

11、ttern 周期 DNS benchmark pattern others Omnibox prefetching 特定CNAME “奇葩Domain” DNS suffix PC 个人 公司/组织 路由器 用于区分内外网“奇葩Domain” 组合 DGA + DNS suffix Host + DNS suffixsource: /upload/2014/11/3/289080141103115106.jpg“奇葩Domain” DGA + DNS suffix Chrome + DNS suffix DNS suffix = TLD DNS suff

12、ix = router AP DNS suffix = 公司域名“奇葩Domain” DGA + DNS suffix Malware + DNS suffix 泛解析“奇葩Domain” Host + DNS suffix Nested domain VS Phishing domain正常域名钓鱼域名 “奇葩Domain” IDN域名 初衷 方便非英语国家上网 问题 隐私泄漏（IM）“奇葩IP” Sinkhole 对恶意软件的C2域名进行接管的IP地址 遇到sinkhole IP 说明什么 分析落后于人 可能被分析 Sinkhole的列表 abuse.ch 360netlab“奇葩IP”

13、NXDomain fake IP ISP的问题 chrome 随机串 安全厂商/安全DNS提供商 OpenDNS, OneDNS 官方泛解析 ccTLD WS/SY/PH Dyre中的*.ws 动态域名 *. cba.pl， *.3322.net“奇葩IP” 特定用途的IPs ///14 原因及 建议设置 保留地址 /8, /12, /16 /24, /24 ICANN 3 URS“奇葩IP”In OSINT

14、 “奇葩IP”在OSINT中的命中情况 Sinkhole：48% NXDOMAIN: 93.3% Reserved：3.2% Root server：100% shock“奇葩IP”In OSINT 来源分布Team- cymru bamben ekcons ulting emergi ngthre ats alienv ault abuse. ch talosi ntel autosh un dshiel d spamha us malwar egroup surriel sinkhole 20 69 16 23 25 12 3 6 6 2 3 NXDOMAIN 18 7 2 7 4 3 2

15、 11 27 0 0 Reserved 2 3 1 0 0 0 0 29 28 0 2 Root server 0 0 0 0 0 0 0 13 0 0 0 “奇葩IP”In OSINT 时间分布2014 2015 2016 2017 sinkhole 32 99 96 19 NXDOMAIN 20 65 79 22 Reserved 4 42 65 26 Root server 0 0 13 13 Reference /wiki/Domain_generation_algorithm /wiki/Re

16、served_IP_addresses /wiki/DNS_sinkhole https:/sinkdb.abuse.ch/ /content/en/us/enterprise/media/security response/whitepapers/dyre-emerging-threat.pdf /news/announcement-2-2014-08-04-zh /2012/02/chrome-connects-to-thr

17、ee-random-doma-at-startup /en/system/files/files/name-collision-mitigation-final-28oct15-en.pdf /dns/benchmark.htm构建安全大厦，从造砖，搬砖开始微博：zhangzaifeng1 ，招砖家：/careersC-l阿里云亏佳匣先知 从DNS看apple设备 . n ng l ude - i phone:3Zha ngd 豆 pa dhua l 1nde - l phone 笃 de - i pang罕 i pa d沁 a ocha :i 涟 i pho 涟 I-I 平d1 a : i bi 沁 豆 phone 65 ( , co ngye de - i p：a： 辜 缸 p hone 21pe i p已 i de - i ph o恼 ,i ni de - i phone mhu 乓 e - i pa dJ zh i cong 涟 i pado j： 却 卫 nde - i 巨： 、 ng j i a nde i