基于恶意域名的高风险攻击态势报告

基于恶意域名的高风险攻击通常分为两个阶段：其一是攻击准备阶段，攻击者通过注册或劫持域名，利用DNS解析将其指向恶意IP，完成攻击的“武器构造”。第二是攻击实施阶段，受害者利用该域名解析后恶意IP建立连接，触发包括木马下载、远控通信和数据窃取等攻击行为，具体表现为受害主机连接C2服务器接收指令（僵尸网络）、用户访问伪造页面导致信息泄露（钓鱼攻击）以及恶意IP主动投递漏洞利用载荷（漏洞利用）等。

本报告基于中国电信安全团队深耕的网络测绘能力和威胁情报能力，利用海量运营商级的云网原生数据，首创基于运营商骨干网络Flow数据的云端威胁发现技术，系统化地对近期以域名为手段的各类攻击行为进行全面分析。不仅从全局视角揭示了当前恶意域名攻击特征及技术演进趋势，也为构建更有效的防御体系提供了数据支撑。 

观点1.1 三月份基于恶意域名的网络攻击整体呈现上升态势，其中以恶意软件及挖矿通信占比较高，钓鱼及挖矿呈现出较为明显的“月末效应”。

本报告基于电信安全的威胁情报能力，选取其中占比较大、危害较高的四种主要威胁——即恶意软件（包括远控、蠕虫、僵尸网络、恶意软件下载等）、挖矿、钓鱼和勒索所对应的恶意域名，并基于运营商大网数据统计了2025年3月全网观测节点上恶意域名请求数量变化趋势。如图1可以看出，3月份的网络恶意域名解析情况整体呈现逐步上升的趋势，尤其是在月末，出现了明显的增长。其中在不同恶意事件类型中，恶意软件的占比最高，达到了63.21%；挖矿事件排名其次，占25.44%。此外，在3月的后半月，挖矿和钓鱼攻击的占比有所提高，初步猜测及分析表明，由于一季度末因工作内容紧张及考核压力等原因而放松警惕，进而会诱发更多受害者访问钓鱼网站，黑产组织也便于利用月末效应而发起更大规模的攻击活动。而挖矿行为的突发增加，则与矿工收益及结算计费周期相关。

图1 整体攻击态势

观点1.2 从恶意域名解析IP分布各区域数量来看，美国仍位居全球首位，占比超过全球1/3, 在钓鱼和勒索分类上均排名第一。CloudFlare作为全球知名云服务厂商，也为钓鱼等类型恶意服务部署提供了便利。

根据我国出现的恶意域名，分析其整体及分恶意类别解析结果归属地，结果如图2所示，美国的服务器承载了最多的恶意服务部署，占比超过34%。CloudFlare作为全球知名的云服务提供商，其占比为14.1%，为大量的钓鱼网站等恶意服务部署提供了便利。

图2 恶意域名服务分布地域（前十国家/地区/组织）

分恶意类别来看，美国在各分类均排名第一，部分恶意软件与国内外黑灰产（如游戏外挂、盗版软件、非法挖矿）深度绑定，中小企业（尤其是传统制造业）网络安全预算投入较少等原因，均导致此类恶意应用呈现较高的部署量。而从其他区域/组织差异情况来看，CloudFlare在钓鱼类别的服务部署方面比较突出；新加坡作为亚洲的金融和贸易中心，在挖矿、钓鱼和勒索方面部署较多。

进一步对解析量排名前十的恶意行为的家族和组织情况拆解，如图3所示，一个典型的发现是挖矿行为的特点：比特币挖矿行为在我国几乎销声匿迹，而在美国、德国等仍占有重要地位，可见我国在2021年禁止虚拟货币挖矿之后取得了一定的成效。但和图2的对比来看，除比特币之外的其他公共矿池中我国的占比依旧较高，因此，我国仍需进一步加强其他虚拟货币/挖矿组织的打击力度。此外，新加坡的挖矿行为占比排名靠前，高达26.01%，这一现象与新加坡的互联网基础设施和数据中心资源有关，使其成为公共挖矿服务的理想部署地区。

图3 不同恶意家族的服务分布地域

观点1.3 恶意域名的选择，是由恶意行为目标、域名成本等多因素综合考量选择的结果，例如.vip和.biz被大量应用于钓鱼, .org应用于挖矿，而top、.xyz等由于注册成本低也备受恶意组织青睐。

为了更好地观测恶意组织在选择顶级域名时的倾向性和偏好，本报告参考W3tech（著名网络域名观察分析机构）的数据作为外部域名顶级域（Top Level Domain，简称TLD）权威数据并分析近期活跃的恶意域名顶级域，得到如图4的恶意域名分布和图5的全网整体顶级域分布情况。

图4 恶意域名TLD整体前十名分布情况

恶意域名的顶级域分布与全网整体顶级域分布有显著差异。首先.com作为广泛认可使用的域名，恶意域名的使用占比也是最高的。其次，.net在恶意域名的使用率超过8%，显著高于全网平均水平，同样地还有.vip和.biz这类非常见顶级域也被更多地出现于恶意域名中。恶意组织为了达到自身的目的，例如勒索、钓鱼等，会采用一些更加有诱导性的TLD，例如.biz，.vip等，这类域名使得受害者更加容易相信网站本身业务的合法性，容易诱发更多访问量。此外，成本也是重要考虑因素，.top、.xyz等新通用顶级域因注册成本低、审核宽松而最受青睐。

图5 全网顶级域整体使用情况

值得注意的是，在前十个顶级域中，仅有.com, .org, .net, .ru出现在恶意域名的排名前十位。除.ru（俄罗斯国家顶级域）和.in（印度的国家顶级域），其他均为常见TLD，且并不会透露攻击者的地域信息。而.ru域名的高占比，则说明俄罗斯作为顶级黑客群体分布最广泛区域，仍然在国际上扮演着重要的角色。

图6 不同恶意攻击类型TLD使用前五名分布情况

按照每个恶意类型进行拆分分析顶级域情况如图6所示。.com和.net仍为各恶意攻击类型主要使用的域名。其他顶级域中，挖矿会更多的使用.org顶级域，因为.org域名通常与组织和非营利机构相关联，攻击者利用这一点来增加其恶意网站的可信度。其次，钓鱼类型的顶级域主要集中在更加具有诱导性的.vip和.top，由于会给人高端或特权的印象，攻击者利用这一点来诱骗用户，更容易进行钓鱼攻击恶意组织为了达到自身的目的，例如钓鱼、勒索等。

观点2.1 从端口使用情况来看，恶意软件类型为了隐藏其行为，使用端口较为分散，前10常用端口占比不超过10%。其它恶意攻击流量所使用端口与其目标具备较强的相关性，以远程控制类（挖矿/勒索）、Web访问类（钓鱼）、挖矿特定端口（8333、挖矿）、数据库操作类（勒索）为主。

将域名解析得到的IP作为目的地址，将同期通信流量按照目的地址、目的端口进行聚合去重，得到承载恶意流量通信的主机端口分布情况，如图7所示。

图7 访问恶意域名解析IP端口暴露分布情况

排名靠前的端口主要可以分为如下几大类，第一类是涉及远程控制相关端口（如22-ssh, 2222-ssh备用端口, 23-telnet，3389-rdp远程桌面控制等），第二类为网站访问相关端口（80-http, 443-https），第三类为比特币挖矿专用端口（8333-bitcoin），最后为数据库相关端口（1433-mssql，6379-redis）。针对不同的恶意类型进行拆解，并分析各恶意攻击类型在端口使用上的偏好，如图8所示。

图8 恶意攻击类型采用的热门端口（前十）对比分析

需要指出的是，恶意组织为了逃避追踪，往往会采用多级跳板来对攻击进行控制，这些直接暴露的主机从某种意义上来讲，也是受害者主机，其在未被控制前仍然开通某些端口提供正常服务，在被攻击者控制后，会被控制者利用而开通暴露某些端口用作恶意活动。

首先，从承载不同攻击类型主机所暴露的端口情况来看，整体比较多样化，前十端口占比相对极低，除了矿池暴露的端口相对集中外（前十占比达到45%），其他类型前十端口累加占比都不高（不超过25%）。其次，挖矿行为会大量使用比特币通信协议的专用的8333端口，该端口具有强指向性，对于该端口的行为监控可以加强。此外，钓鱼会大量使用Web相关服务（80、443），能够提供更加易于访问的服务，与其钓鱼特性高度相关。特别地，矿池和勒索类型多使用22、23等远程连接端口，与其远控行为相关。

观点2.2 从我国视角来看，国内与各主要国家的主要恶意行为以恶意软件和挖矿行为为主，不同国家的恶意行为差异较大，具有显著特点。

图9 中国与各国出入站流量恶意类型对比

本报告进一步分析中国与主要国家出入向流量恶意类型成分，如图9所示。从入站流量来看（左图），大部分国家（美国、英国、日本、德国等）会连接中国的矿池资源；另外一些国家（印尼、墨西哥、越南、俄罗斯等）则主要连接恶意软件攻击类别；反观从出站流量来看（右图），中国连接恶意软件较多的国家有美国、英国、德国；其余则以连接位于国外的矿池资源为主，包括越南、墨西哥、印尼、南非、俄罗斯等；而钓鱼网站则主要分布在日本、美国和俄罗斯。这些出入站流量的差异，是由域名的分布所决定的，各类恶意域名，其本质上是攻击者基于成本、风险、资源可用性的理性选择。以挖矿域名为例，东南亚（越南、印尼等）低成本的VPS和宽松的注册政策，常被用于跳板或域名轮换。而钓鱼网站由于需要达到以假乱真的效果，网络延迟和带宽等需要纳入考虑，通常位于与我国网络位置相对邻近且网络条件相对较好的国家（美国、日本、俄罗斯等）。

当前恶意域名攻击已成为威胁国家网络安全的重要挑战，本报告从基础运营商海量数据视角展开分析，通过数据手段揭示了当前基于域名的恶意攻击在解析趋势、域名特征、国内外攻击实施流量态势等方面呈现出的一些新特性。

根据中国电信安全团队的分析，恶意域名的攻击逐渐呈现出技术隐蔽化、规模扩大化和跨境协作复杂化的趋势，攻击者通过DGA动态域名、IDN同形字钓鱼、快速更换C2域名等手段，实施勒索、恶意软件、挖矿、钓鱼等APT攻击和数据窃取等恶意行为，严重威胁关键基础设施安全。近期监测数据显示，针对政府、金融等关键领域的钓鱼攻击和DNS劫持事件频发。同时，域名注册信息虚假、跨境溯源困难等问题进一步加剧了治理难度。

基于如上，建议从技术、管理和国际合作三个层面构建防御体系：技术上，应部署AI驱动的域名威胁检测系统，推广DNSSEC协议，实施关键系统域名白名单机制；管理上，需完善域名实名注册制度，建立跨部门、甚至跨国的恶意域名共享黑名单；国际合作方面，要推动跨境协查机制，制定统一的域名治理标准。