hagezi/dns-blocklists项目：恶意域名updatesnow.click的分析与阻断

恶意域名背景

近期，安全研究人员在hagezi/dns-blocklists项目中提交了一个名为updatesnow.click的恶意域名。该域名被用于分发名为Browser.ClientSetup.exe的可执行文件，经分析确认属于恶意软件或钓鱼攻击载体。其关联的父域名allupdatenow.com此前已被标记为恶意来源，表明攻击者可能通过伪造软件更新页面诱导用户下载恶意程序。

技术分析

1. 攻击链特征

   • 域名伪装：使用updatesnow.click这一具有迷惑性的名称，模仿常见的软件更新站点。
   • 恶意负载：通过/Bin/Browser.ClientSetup.exe路径提供可执行文件，典型的恶意软件分发方式。
   • 动态参数：URL中包含e=Access&y=Guest等查询参数，可能用于攻击者后台统计或动态生成恶意负载。

2. 防御建议

   • DNS层拦截：通过NextDNS等支持NRD（新注册域名）过滤的服务可自动阻断此类域名。
   • 多列表联动：结合Multi PRO等聚合型拦截列表，覆盖更广泛的威胁情报来源。
   • 终端防护：用户应避免直接下载来源不明的可执行文件，尤其警惕伪装成更新的.exe文件。

项目响应与处理

hagezi/dns-blocklists团队快速响应了该提交，确认该域名符合新注册域名（NRD）的拦截标准，并在后续版本中将其纳入官方阻断列表。尽管部分DNS服务（如NextDNS）的NRD功能可能已默认拦截此类域名，但将其加入公开拦截列表仍能帮助更多未启用NRD防护的用户。

安全启示

此类案例体现了当前网络威胁的常见手法：

• 域名时效性：攻击者频繁注册新域名以规避传统黑名单。
• 社会工程：利用用户对“更新”行为的信任心理实施诱导。
• 防御纵深：需结合DNS过滤、终端防护、用户教育等多层措施。

通过开源社区协作（如hagezi项目）共享威胁情报，能够有效提升整体网络安全水位。普通用户应优先选择支持动态威胁拦截的DNS服务，并保持安全软件更新。