就像所有城市一樣，互聯(lián)網(wǎng)也有一些頻繁發(fā)生可疑活動的地區(qū)，比如垃圾郵件、網(wǎng)絡(luò)詐騙、有潛在威脅的軟件、惡意軟件、僵尸網(wǎng)絡(luò)、網(wǎng)絡(luò)釣魚等。

企業(yè)安全公司Blue Coat System定期分析來自1萬5千家企業(yè)和7500萬用戶的Web請求，跟蹤互聯(lián)網(wǎng)上的可疑活動。該公司在上個月發(fā)布了與惡意網(wǎng)站有所聯(lián)系的十大頂級域名。

主流的頂級域名以前有在過去的幾年中數(shù)量激增，從.com、.net和.org擴(kuò)展出了更多種類。新興的頂級域通常會吸引大量威脅源，因?yàn)槭褂盟鼈冞M(jìn)行注冊的成本比起著名的頂級域名要低得多。

Blue Coat建議組織采取措施進(jìn)行防護(hù)，比如屏蔽高風(fēng)險頂級域名，或者在用戶連接到托管在這些頂級域名上的網(wǎng)站時發(fā)出警告。Blue Coat還建議用戶在不確定目標(biāo)鏈接的具體地址時將光標(biāo)移到超鏈接對象上，查看目標(biāo)的具體地址。如果使用移動設(shè)備，可以通過點(diǎn)擊并長按執(zhí)行相同的操作。

以下是十大最可疑的頂級域名：

1 .zip

這份名單的內(nèi)容變化很快。.zip域名在Blue Coat于九月份發(fā)布報告時還高居榜首，但其排位之后大幅下滑。Blue Coat公司惡意軟件研究小組負(fù)責(zé)人克里斯·拉爾森指出，讓.zip高居榜首的原因在于它其實(shí)僅有一個活躍域nic.zip，ta是Google的預(yù)注冊頁面，會將用戶中繼到google.com下屬的一個頁面，其中介紹了他們新的頂級域名。

拉爾森說：“來自.zip的URL的確出現(xiàn)在了我們的流量日志中，根據(jù)公司的WebPulse系統(tǒng)記錄，每天我們的客戶都會發(fā)出10億匿名訪問Web的請求。如果你仔細(xì)研究，記錄中的大多數(shù)都是文件名，而不是URL，但它們最終肯定是以某種方式作為URL出現(xiàn)在了某人的瀏覽器上，并且被判定成了可疑鏈接。”

大多數(shù)請求都是看上去很搞笑的URL，它們并不能解析，因此被標(biāo)記為可疑。但拉爾森補(bǔ)充稱很多客戶雇傭的安全公司都發(fā)現(xiàn).zip域名和Cryptowall、MiniDionis和CozyBear等惡意軟件家族間存在聯(lián)系。

2 .review

盡管.zip從第一的位置上跌落，頂級域名.review仍穩(wěn)坐全網(wǎng)第二大可疑域名。拉爾森解釋稱這主要是由于它托管的詐騙網(wǎng)站。

“只要看一看域列表，你就會發(fā)現(xiàn)前15個都是詐騙網(wǎng)站，其中至少12個都與中國某保健品詐騙網(wǎng)站同屬一個家族。.review可能并沒有對驅(qū)逐壞人們作出任何努力。”

3 .country

頂級域名.country最近已經(jīng)在Blue Coat公司的排名中獲得了第一，但在報告9月份發(fā)布時它還位居第三。

“.country并不像是.click、.link和.rock這些頂級域名，為了弄清它究竟托管了多少惡意網(wǎng)站，我開始時查看了公司的日志。我發(fā)現(xiàn)所有近期注冊的.country域名都是可疑的。因此如果你想在Web網(wǎng)關(guān)上完全屏蔽該域名，我不會怪你。如果有心情的話，你還可以屏蔽.click域名，盡管它并沒有像.country這么糟糕。”

該頂級域名似乎已經(jīng)完全成為了以有獎游戲/調(diào)查為名進(jìn)行釣魚的詐騙網(wǎng)站殖民地。拉爾森提示，Blue Coat沒有直接發(fā)現(xiàn)任何與此網(wǎng)絡(luò)相關(guān)的惡意軟件，但有些它的配套廣告網(wǎng)絡(luò)與可疑軟件存在密切聯(lián)系。

4 .kim

.kim頂級域名在Blue Coat報告中排位第四。但拉爾森提示稱.kim和.xyz(并不屬于排名前十)的域名注冊商都已經(jīng)聯(lián)系了Blue Coat公司，以消除他們頂級域名下的一些可疑活動。

“我們在最近的流量中發(fā)現(xiàn)了改變。他們做得更好了，這理應(yīng)得到稱贊。”

該頂級域名確實(shí)托管了一些合法的域，最著名的是韓國的某科技博客和土耳其的幾家網(wǎng)站(Kim在土耳其語里是“誰”的意思)。但該域名與可疑軟件和詐騙網(wǎng)站間存在聯(lián)系，而且至少有一個域上托管了域名生成算法，該算法能夠生成可被惡意軟件利用的域名。因此，.kim理應(yīng)榜上有名。

5 .cricket

.cricket取名自世界上第二大流行的運(yùn)動：板球。該頂級域名被列為全網(wǎng)第五大可疑頂級域名。

拉爾森指出，盡管它也托管了一些合法網(wǎng)站，但其中存在大量搜索引擎毒化的實(shí)例。例如，StarWarsMovie.cricket從其它地方拉來了大量星球大戰(zhàn)相關(guān)周邊的圖片，以獲取流量，其中有些圖片顯然就是從其它地方盜取的。如果在頁面上點(diǎn)擊，將跳轉(zhuǎn)到銷售藍(lán)光《星球大戰(zhàn)第六部：絕地歸來》的網(wǎng)站。

6 .science

第六大可疑頂級域名很大程度上成了其營銷策略的犧牲品。為了提升頂級域名的名氣，域名注冊商曾免費(fèi)開放.science域的注冊。

“他們以低價傾銷，基本可以肯定會遇上麻煩。如果花一塊錢就能注冊一個域名，壞人將蜂擁而至。”

拉爾森說，相比可疑軟件和詐騙，.science域和sao'rao的關(guān)系最緊密。他指出，可疑活動包括一個大型電子書網(wǎng)站，它的下載頁面曾存在可疑軟件活動。另一個網(wǎng)站則銷售定制的學(xué)術(shù)論文。

7 .work

頂級域名.work看上去和騷擾及詐騙離得更近，離惡意軟件比較遠(yuǎn)。然而拉爾森的小組找到了一些指向可疑軟件分發(fā)網(wǎng)絡(luò)的嘗試性鏈接。拉爾森指出，雖然存在一些合法網(wǎng)站，它仍舊值得屏蔽。舉例而言，它托管了一家土耳其色情網(wǎng)站和巴基斯坦的一家視頻剪輯網(wǎng)站，這兩個網(wǎng)站極其相似。

8 .party

.party位列第八。這里的很多網(wǎng)站乍一看都是合法的。比如排名第一位的FashionOnly.party，頁面上展示了女性婚紗禮服和休閑服裝。

拉爾森說：“有一些小黃旗，這些圖片都有點(diǎn)爛，所有都像是從原格式轉(zhuǎn)換出來的。很多照片的背景中都有其他網(wǎng)站的水印。這是一個沒有意義的網(wǎng)站。在評論中也沒有任何內(nèi)容”

這些都是搜索引擎毒化的標(biāo)志。該頂級域名還托管了一大堆MP3網(wǎng)站，它們有可能是盜版或者惡意軟件傳播平臺。另有一家網(wǎng)站托管了可疑的tracker。

9 .gq

.gq是赤道幾內(nèi)亞的國家代碼。Blue Coat的報告公布以來，.gq已經(jīng)滑出前10位。但拉爾森指出，它在許多方面能夠獲得終身成就獎。

“如果翻看數(shù)據(jù)庫中所有與.gq相關(guān)的評分，超過7500條的的評價中有99%是可疑的。”

Blue Coat報告中稱，大多數(shù)對.gq的濫用都屬于搜索引擎毒化，一大部分作為Cookie截取器的可疑視頻都和惡意軟件相關(guān)。它還托管了一些自稱“震撼視頻”的騷擾/詐騙網(wǎng)站，以及少量的其它惡意軟件、釣魚和色情網(wǎng)站。

10 .link

.link是Blue Coat名單的最后一位。該頂級域名充斥著色情內(nèi)容分發(fā)網(wǎng)絡(luò)和盜版網(wǎng)站，但這都不是Blue Coat標(biāo)記為可疑的對象。有一家日本網(wǎng)站專門提供關(guān)于橄欖球的體育內(nèi)容，另一家網(wǎng)站則轉(zhuǎn)發(fā)美國一些廣播電臺的新聞內(nèi)容。但在這些合法域之外還存在很多詐騙網(wǎng)站。

“根據(jù)歷史來看，這是一個滋生騷擾網(wǎng)站的頂級域。”拉爾森說。

人名與術(shù)語

克里斯·拉爾森(Chris Larsen)

頂級域名(Top Level Domain，TLD)

域名生成算法(Domain Generation Algorithm，DGA)

搜索引擎毒化(Search Engine Poisoning)