Cloudflare清除Aisuru僵尸网络域名排名

在过去一周，与大规模Aisuru僵尸网络相关的域名多次在Cloudflare的公共排名中超越亚马逊、苹果、谷歌和微软，成为最常请求的网站。Cloudflare通过从其顶级网站列表中删除Aisuru域名来回应此事件。

Cloudflare首席执行官表示，Aisuru的控制者正在利用该僵尸网络提升其恶意域名排名，同时攻击公司的域名系统（DNS）服务。

Aisuru僵尸网络的规模与能力

Aisuru是一个快速增长的僵尸网络，包含数十万台被入侵的物联网（IoT）设备，如安全性较差的路由器和监控摄像头。自2024年首次出现以来，该僵尸网络的规模和火力显著增强，已展示出发起接近每秒30太比特数据的创纪录分布式拒绝服务（DDoS）攻击的能力。

DNS服务器策略变化

直到最近，Aisuru的恶意代码仍指示所有受感染系统使用谷歌的DNS服务器（8.8.8.8）。但在10月初，Aisuru转向调用Cloudflare的主要DNS服务器（1.1.1.1），过去一周内，Aisuru用于控制受感染系统的域名开始出现在Cloudflare的顶级域名排名中。

Cloudflare的应对措施

当Aisuru域名占据前十名中两个位置的截图在社交媒体上传播时，Cloudflare试图通过部分删除恶意域名并在排名顶部添加警告来解决安全、品牌混淆和隐私问题：

“请注意，前100名域名和趋势域名列表包括有机活动域名以及具有新兴恶意行为的域名。”

Cloudflare CEO Matthew Prince告诉KrebsOnSecurity，公司的域名排名系统相当简单，仅测量到1.1.1.1的DNS查询量。

“攻击者只是生成大量请求，可能是为了影响排名，也是为了攻击我们的DNS服务，“Prince说，并补充说Cloudflare已收到其他大型公共DNS服务遭受类似攻击激增的报告。“我们正在修复排名系统使其更智能。同时，删除我们归类为恶意软件的任何网站。”

行业专家观点

DNS安全公司Infoblox的威胁情报副总裁Renee Burton表示，许多人错误地认为扭曲的Cloudflare域名排名意味着受僵尸感染的设备比查询谷歌、苹果和微软等网站的正常设备更多。

反网络钓鱼和安全公司Epi的CEO Alex Greenland表示，他理解Aisuru僵尸网络域名出现在Cloudflare排名中的技术原因（这些排名基于DNS查询量，而非实际网站访问），但他认为它们仍不应出现在那里。

“这是Cloudflare的失败，揭示了他们排名的信任和完整性受到损害，“他说。

Greenland指出，Cloudflare域名排名被广泛用于信任和安全确定，包括浏览器、DNS解析器、安全浏览API和TRANCO等。

“TRANCO是一个受尊敬的开源前百万域名列表，Cloudflare Radar是他们的五个数据提供商之一，“他继续说。“因此，当恶意域名出现在Cloudflare的前10/100/1000/百万名时，可能会产生严重的连锁效应。对许多人和系统来说，前10名和前100名被天真地认为是安全和可信的，尽管算法定义的前N名列表总是有些粗糙。”

最新进展与检测方法

在过去一周，Cloudflare开始从其顶级域名列表中删除恶意Aisuru域名的部分内容，仅保留其域名后缀可见。在过去的24小时内，Cloudflare似乎已开始从该列表的网页版本中完全隐藏恶意Aisuru域名。然而，从Cloudflare Radar下载当前前200名域名的电子表格显示，一个Aisuru域名仍处于最顶端。

根据Cloudflare网站的数据，对顶级Aisuru域名的大多数DNS查询（近52%）来自美国。这与我在10月初的报道相符，该报道发现Aisuru从托管在AT&T、Comcast和Verizon等美国互联网提供商上的物联网设备获取大部分火力。

跟踪Aisuru的专家表示，该僵尸网络依赖超过一百台控制服务器，目前至少大多数这些域名注册在.su顶级域名（TLD）中。Dot-su是分配给前苏联的TLD（.su的维基百科页面称该TLD在柏林墙倒塌前仅15个月创建）。

检测网络上Aisuru僵尸活动的一个简单粗略方法可能是对任何尝试联系以.su结尾域名的系统设置警报。该TLD经常被网络犯罪和网络犯罪论坛及服务滥用，完全阻止对其的访问不太可能引起任何合法投诉。