Обнаружение вредоносных ссылок – Часть 3: Потенциально опасные регистраторы

Часть 1: Методы обнаружения
Часть 2: Эвристическое обнаружение по расположению веб-ресурса

Во второй части мы провели анализ географических данных 3 категорий сайтов: безопасных ресурсов, фишинг-сайтов и сайтов с вредоносным кодом. В итоге мы обнаружили любопытные специфические особенности, связанные с местоположением вредоносных сайтов.

Многие из них размещаются в странах бывшего Советского союза, а несколько даже в Антарктиде. В 3-ей части мы выполним анализ данных регистратора, которые могут быть получены с помощью протокола Whois.

Эти данные применяются для выявления фишинг-сайтов и сайтов с вредоносным ПО при эвристическом анализе. Будем использовать 3 категории сайтов, как и прошлый раз:

- безопасные сайты, полученные с помощью сервиса Alexa;
- сайты с фишинг-атаками, полученные при помощи сервиса Phishtank;
- сайты с вредоносным ПО, сгенерированные на инфицированной машине.

После сбора и обработки данных, полученных на базе протокола Whois, получаем следующие диаграммы.

Регистраторы безопасных сайтов:

Регистраторы фишинг-сайтов:

Регистраторы сайтов с вредоносным ПО:

Давайте для начала сравним регистраторов фишинг-сайтов и надежных ресурсов. Большинство безопасных сайтов зарегистрированы с помощью “GODADDY.COM, LLC” (17%) в то время, как первое место среди фишинг-сайтов занимают регистраторы “GODADDY.COM, LLC, PDR LTD. D/B/A PUBLICDOMAINREGISTRY.COM, GODADDY.COM, LLC, TUCOWS.COM CO.” (31%). Данная статистика может быть использована для обнаружения ресурсов с фишингом.

На диаграмме регистраторов сайтов с вредоносным ПО четко виден лидер. Регистратор “REGGI-REG-RIPN” был использован в 78% случаев для регистрации вредоносного сайта или ботнет-сервера. “REGGI-REG-RIPN”, также известный как “Reggi Business Ltd”, является популярным российским регистратором доменных имен.

Суффикс “-REG-RIPN” означает, что компания-регистратор зарегистрирована в Российской Федерации. “RIPN” является английской аббревиатурой Российского научно-исследовательского института развития общественных сетей (РосНИИРОС), который является оператором межведомственной Российской опорной сети (Russian Backbone Network, RBNet ), обеспечивающей сетевое подключения к глобальной сети научно-образовательных сетей.

В то время как надежный регистратор “RU-CENTER-REG-RIPN” упоминается при регистрации 3% безопасных сайтов, другой российский регистратор “REGRU-REG-RIPN” очень часто используется для регистрации ботнет-серверов, использующих известный троян Zeus.

Таким образом, большинство сайтов с вредоносным ПО зарегистрировано российскими регистраторами (REGGI-REG-RIPN, REGRU-REG-RIPN). Данный факт объясняется тем, что большинство российских хакеров используют в своей деятельности крупнейшие ботнеты (Zeus, Shiz, Carperb), а домены в зоне RU являются дешевым и надежным способом создания вредоносных сетей.

Ссылки, зарегистрированные с помощью REGGI-REG-RIPN имеют схожую структуру и ведут к вредоносным файлам:

hxxp://uw***fyj.ru/avalon3.exe
hxxp://yc***gup.ru/keybex3.exe
hxxp://ys***qoc.ru/newtor4.exe
hxxp://xy***kan.ru/rasta01.exe
hxxp://wo***v.ru/calc.exe

После проведения сканирования стационарным антивирусным движком, получили следующие данные об угрозах:

Таким образом, большинство угроз представляют собой ботнеты, которые крадут конфиденциальную информацию с компьютера пользователя (например, Trojans,“SonyAgent”(TrojanPSW.FTPAgent)).

На основе полученной информации можно говорить, что использование списка потенциально опасных регистраторов может предотвратить посещение пользователем зловредного ресурса, не прибегая к сканированию с участием сигнатур.

Оригинал статьи Part 3. “Suspicious Registrars”