“在11月份,许多恶意.eu域名已被注册,这些域名被用来通过恶意软件感染PC Blackhole漏洞攻击工具包“,安全厂商Sophos的首席病毒研究员Fraser Howard在周四发表的一篇博客文章中称,
Blackhole是一个基于Web的攻击工具包,利用Adobe Reader等浏览器插件漏洞利用漏洞,使用恶意软件感染计算机
[进一步阅读:如何从Windows PC删除恶意软件]
在Sophos发现的攻击中,网络罪犯托管了他们的黑洞攻击带有扩展名为.eu的随机域名的页面,所有这些页面都指向位于捷克共和国的已知恶意服务器。“它们寿命短,在攻击者转移到下一个攻击之前,这些名字只能在目标服务器上解决一段时间,“Howard说。 “这种策略非常普遍,被许多威胁用来逃避安全过滤。”
然而,通常是其他TLD(顶级域名)在这种攻击中被滥用,而不是.eu,Howard说。
Sophos无法立即提供有关今年发现的包含恶意.eu URL的攻击数量的信息,但根据反病毒供应商Bitdefender的数据,.eu域名空间中的滥用程度正在增加。
“ 2012年下半年,我们看到.eu TLD恶意活动增加,“Bitdefender高级电子威胁分析师Bogdan Botezatu周五通过电子邮件表示。 “与上半年相比,恶意.eu域的数量几乎增长了两倍,从涉及TLD的所有安全事件的0.53%到1.38%。”
今年上半年,.eu是第11名Botezatu说,这是一个常常被滥用的顶级域名。 “现在它排在第八位。”俄罗斯域名,.com和.info仍然占据了大部分滥用。
“我们确认.in域名通常用于托管恶意网站和垃圾邮件活动的趋势。 ,“反病毒供应商卡巴斯基实验室的一位代表周五在电子邮件声明中表示。 “这两种域名都位于恶意网站国家域名区的前15名。另外值得注意的是,臭名昭着的HLUX(也被称为Kelihos)僵尸网络使用了几个.eu域名。“
周五,霍华德通过电子邮件说,攻击者通常喜欢四处走动。他们选择一个TLD而不是另一个TLD的唯一原因是他们发现了一个域名提供商,允许他们更容易地在特定的TDL下注册域名,或者因为他们认为特定TLD的声誉更好,“他说。只有选择一个TLD的真正好处是信任,“他说。 “用户是否比别人更信任某些顶级域名?如果是这样,那么选择TLD的攻击者可能会有优势。“
Botezatu认为.eu域名既符合网络犯罪分子的声誉,也符合经济预期。
”由于欧盟域名最近比较流行,它们不是在人们的思想中与虐待相关联,“他说。 “受访者不会期望通过访问欧洲域名而受到伤害,加上事实上他们预计其内容是英文的,而不像俄罗斯的顶级域名(TLD),这些域名被称为网络犯罪的安全港,同时也提供本地化,对于外部人来说,这些内容难以辨认“。
”.eu域名的价格与.com和.info域名相同,并且每年可以购买,这对于网络诈骗者来说也是一个优势,他们希望最便宜的域名“根据霍华德的说法,EURid是一家非营利组织,根据与欧盟委员会的合同管理.eu TLD,历来采取果断行动来保护TLD的声誉。
霍华德说,EURid告诉Sophos研究人员,在得知最近发生的Blackhole攻击事件后,它已经解决了这个问题。然而,目前还不清楚这是否意味着这些域名被暂停,或者该组织是否做了任何修改以防止攻击者注册新域名,“他表示。”
EURid收到的投诉数量仍然很低,EURid总经理Marc范韦塞迈尔星期五通过电子邮件说。 “我们一直收到一些投诉,很可能会继续这样做。然而,我想强调一下,我们已经制定了内部程序来打击针对.eu的滥用行为。“
EURid投入了大量精力来打击滥用.eu域名注册并使用自动化工具尽早识别滥用行为,范Wesemael说。 “我们还与几个安全组织密切合作,这些组织为我们提供有关.eu网站/域名滥用情况的早期警告。”
但是,EURid发现的95%以上的滥用案例涉及合法的.eu网站,这些网站已被黑客入侵恶意软件插入他们,范Wesemael说。他说,在这些案件中,拆除受感染的网站不是一种选择,因为它们可能会被业主用于他们的业务。 “EURid通知责任注册商和/或注册人有关任何已知事件,然后我们会密切关注,直到问题解决。”