全球疫情仍在肆虐，上网也要注意黑域名感染

作者：匿名来源：网络时间：2020-10-30

国旭科技（www.xdns.cn）域名资讯10月30日消息

2020年发生的一切，对于全世界来说，都是一个极大的噩梦。如今，新冠疫情仍在全球肆虐，转折点仍未到来，每天各个国家不断上涨的感染人数无不牵动着每个人的心。而随着疫情的爆发，各类和疫情相关的域名也是呈井喷式被注册，虽然在这节点仍想用此类域名盈利，虽有些不道德，但也无可厚非。

然而除了此类情况，还有一种域名，可就不止为不道德了，他们借助于真实世界里的病毒肆虐，网络攻击者趁机传播恶意软件，大批用户“惨遭感染”。这批被感染的用户，又因为“黑域名”的原因，继续在网络空间内对病毒“肆意传播”，致使更多人被“感染受害”。

那么什么是黑域名呢，他又有什么危害，接下来小编给大家一一诉说：

一、什么是黑域名？

网络中对“黑域名”有两层定义：（1）对于通过非正规渠道购买、来历不明的域名；（2）恶意软件用于在僵尸网络中实现控制、管理及控制等域名。
这里我们所指的“黑域名”特指第二类，即恶意软件（如挖矿病毒、僵尸网络、勒索病毒等）通过“黑域名”实现被控制终端与控制服务器之间保持通信的域名。“黑域名”还可分为静态和动态两类。
静态黑域名常用于挖矿、勒索病毒等网络攻击行为。
动态黑域名常用于僵尸网络或网络攻击行为。
在互联网环境中，为了便于记忆，将域名与IP地址进行绑定，实现高效的、快速地互联网站点的访问。对恶意程序而言，固定的恶意IP地址极易被安全设备检测并阻断，无法实现隐蔽与有效地控制。所以，僵尸网络在设置恶意软件时极力避免使用固定IP地址作为被控终端与服务器端的连接。在程序中常常生成随机域名(黑域名)，以绕过常见的安全防护手段，实现对被控制端持续、有效的控制。
因此，通过算法生成的黑域名在互联网中常常无法访问，因为攻击者在恶意软件运行时，才对域名进行注册，所以我们发现的黑域名常常无法直接进行访问。

二、黑域名与普通域名区别

现用现注册

由于注册域名需要费用，故恶意攻击者常常在黑域名计划上线前才注册域名，在此时黑域名才可在互联网环境中访问。
使用时间短由于现有安全防护措施对网络流量中的行为进行检测，发现可疑请求后将上传云端安全管理中心。所以在黑域名生效使用后，现有检测、防护设备可快速识别并广播防护规则实现有效阻断，为了避免长时间动态域名的暴露，恶意攻击使用一个特定黑域名的时间都不长，通过在1-7天左右。

三、黑域名运行机制

感染并生成随机域名

恶意人员通过恶意邮件、网络入侵等手段，向用户计算机投放恶意病毒，释放被控端软件。被控端软件部署后，根据算法生成伪随机域名。
注册随机域名，被控端反向连接主控端恶意攻击者可提前注册部分黑域名，在恶意程序感染终端后使用算法生成伪随机域名池，使用池中域名逐一向DNS服务器请求对应的IP地址，直至成功获取IP地址后即进行会话连接，进行反向连接（如图所示）。