是谁悄悄偷走我的电(一):利用DNSMon批量发现被挂挖矿代码的域名

在360网络安全研究院,我们持续的分析海量的DNS流量。基于此,我们建立了 DNSMon 检测系统,能够对 DNS 流量中的各种异常和关联关系予以分析。 在之前的 文章 中,我们提到了 openload.co 等网站利用Web页面挖矿的情况。在那之后,我们进一步利用 DNSMon 对整个互联网上网页挖矿进行分析,本文描述我们目前看到情况。 当前我们可以看到: 0.2% 的网站在首页嵌入了Web挖矿代码:Alexa Top 10万的网站中,有 241 (0.24%) ; Alexa

从DNS和sinkhole视角看WannaCry蠕虫

编注:本文来源自《中国计算机学会通讯》2017年第7期《WannaCry勒索蠕虫专刊》,作者是360网络安全研究院李丰沛。在本博客发布时,文章的字句和排版略有调整,以适应本技术博客。我们将该文章发布在本技术博客的动机之一,是因为这篇文章中对WannaCry的感染情况做了一个定量分析,本技术博客的后续其他分析文章可以参考做一个基准。 域名系统(Domain Name System, DNS)数据作为全网流量数据的一种采样方式,可以在大网尺度对域名做有效的度量和分析。我们利用DNS数据,在过去数年里对多个安全事件,包括Mirai等僵尸网络、DGA等恶意域名,以及黑色产业链条进行跟踪和分析。对于最近爆发的WannaCry蠕虫病毒,利用DNS数据进行分析,也是很有意义的。 众所周知,WannaCry蠕虫病毒有一个开关域名,即www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com,该域名相关详细内容见《