首页
/ hagezi/dns-blocklists项目:恶意域名updatesnow.click的分析与阻断

hagezi/dns-blocklists项目:恶意域名updatesnow.click的分析与阻断

2025-05-22 10:36:07作者:胡易黎Nicole

恶意域名背景

近期,安全研究人员在hagezi/dns-blocklists项目中提交了一个名为updatesnow.click的恶意域名。该域名被用于分发名为Browser.ClientSetup.exe的可执行文件,经分析确认属于恶意软件或钓鱼攻击载体。其关联的父域名allupdatenow.com此前已被标记为恶意来源,表明攻击者可能通过伪造软件更新页面诱导用户下载恶意程序。

技术分析

  1. 攻击链特征

    • 域名伪装:使用updatesnow.click这一具有迷惑性的名称,模仿常见的软件更新站点。
    • 恶意负载:通过/Bin/Browser.ClientSetup.exe路径提供可执行文件,典型的恶意软件分发方式。
    • 动态参数:URL中包含e=Access&y=Guest等查询参数,可能用于攻击者后台统计或动态生成恶意负载。
  2. 防御建议

    • DNS层拦截:通过NextDNS等支持NRD(新注册域名)过滤的服务可自动阻断此类域名。
    • 多列表联动:结合Multi PRO等聚合型拦截列表,覆盖更广泛的威胁情报来源。
    • 终端防护:用户应避免直接下载来源不明的可执行文件,尤其警惕伪装成更新的.exe文件。

项目响应与处理

hagezi/dns-blocklists团队快速响应了该提交,确认该域名符合新注册域名(NRD)的拦截标准,并在后续版本中将其纳入官方阻断列表。尽管部分DNS服务(如NextDNS)的NRD功能可能已默认拦截此类域名,但将其加入公开拦截列表仍能帮助更多未启用NRD防护的用户。

安全启示

此类案例体现了当前网络威胁的常见手法:

  • 域名时效性:攻击者频繁注册新域名以规避传统黑名单。
  • 社会工程:利用用户对“更新”行为的信任心理实施诱导。
  • 防御纵深:需结合DNS过滤、终端防护、用户教育等多层措施。

通过开源社区协作(如hagezi项目)共享威胁情报,能够有效提升整体网络安全水位。普通用户应优先选择支持动态威胁拦截的DNS服务,并保持安全软件更新。

登录后查看全文
热门项目推荐