作者:陸超逸 、劉保君、段海新(清華大學-奇安信集團聯合研究中心)
來源公眾號:網安國際:https://mp.weixin.qq.com/s/IxXskW5r66Alyz9zFkCwCg

近期美國司法部查封了伊朗的一些媒體網站的域名,引起了許多關注和討論。本文從技術角度分析了當前仍然不夠成熟的“惡意”域名“查封”流程,涉及注冊局/注冊商、安全公司、政府等相關機構。本文只是技術討論,其中的觀點僅代表作者本人。

01 事件回顧

當地時間6月22日,美國宣布對36個伊朗媒體域名進行了“查封”(seizure),引發國際社會關注。據美國司法部網站公告[1],被查封的域名包括伊朗英文電視臺(presstv.com)、伊朗世界新聞衛視(alalamtv.net)等,理由是這些域名的持有機構“違反了美國的制裁措施”(“in violation of U.S. sanctions”)并“傳播針對美國的虛假消息”(“target the United States with disinformation campaigns”)。目前,訪問上述網站將看到含有“此網站已被查封”字樣的圖片,并配有美國司法部聯邦調查局和商務部產業安全局徽章(圖1)。隨后,伊朗媒體將域名presstv.com遷移至presstv.ir恢復了服務。

圖1 被查封的域名presstv.com主頁

此次事件并非主權國家第一次在互聯網空間使用法律或行政手段“查封”其它國家機構/個人所持有的適用本國法律監管的域名。通常來說,涉及網絡釣魚、僵尸網絡等濫用行為的域名會遭到全球各國監管部門的聯合打擊,某些國家也會依據本國法律及域名管理政策對所判定的“非法域名”進行無差別處置。此前美國執法部門已于2020年10月查封92個和伊朗伊斯蘭革命衛隊有關的域名,并稱將繼續“使用一切工具阻止伊朗政府濫用美國公司和社交網絡進行政治宣傳活動,秘密影響美國公眾以及挑撥離間”(“use all of our tools to stop the Iranian Government from misusing U.S. companies and social media to spread propaganda covertly, to attempt to influence the American public secretly, and to sow discord”)[2]。

02 事件技術性分析

為了分析出本次“查封”事件中的執行主體,我們有必要對域名注冊過程進行簡要介紹。

域名空間是一個層次結構的樹形分布式數據庫,它的頂層是DNS根,下面是1000余個頂級域(如.com、.net、.top和.cn等)。如圖2所示,頂級域由互聯網數字和地址分配機構(ICANN)授權,并由域名注冊局(registry)進行管理和解析。例如,頂級域.com和.net的注冊局為美國的Verisign公司。注冊局將域名注冊業務委托給分布于全球的域名注冊商(registrar),例如阿里云和GoDaddy,由注冊商向普通用戶出售頂級域下的二級域名(例如baidu.com)。注冊商和注冊局各自維護所管轄域名的WHOIS數據,記錄域名的注冊人和負責其解析的權威服務器等信息。

圖2 域名注冊和管理機制

本次域名查封是美國執法部門要求域名注冊局(registry)執行的,與注冊商(registrar)無直接關系。根據安全公司披露的域名清單[3],被查封的部分網站頂級域分布為:.tv(14個)、.com(11個)、.net(6個)、.org(2個)。管理上述頂級域的注冊局為Verisign和PIR,二者均位于美國。注冊局提供的WHOIS數據顯示,在UTC時間6月22日14時左右,所有被查封域名的權威服務器被統一更改為亞馬遜公司DNS服務器地址,如圖3所示。

圖3 注冊局Verisign提供的presstv.com的WHOIS數據(部分)

在注冊商層面,本次被查封的這批域名一共涉及20個注冊商(包括7家非美國注冊商),其中至少29個域名的注冊商WHOIS數據仍維持原狀,未被修改(圖4)。因此,我們判斷此次域名查封操作是由美國注冊局批量執行的,和注冊商的關系不大。

圖4 注冊商Instra提供的域名presstv.com的WHOIS數據(部分)

03 域名接管的現有實踐

我們將“域名查封”等通過非常規方式導致域名狀態發生變化的操作統稱為“域名接管”。在本文的剩余部分,我們將討論在什么樣的條件下可以接管一個已注冊的域名。

通常來說,注冊商和注冊局并沒有權力主動地對其管轄的域名進行接管。2011年,美國注冊局Verisign曾向ICANN尋求獲取在無法院命令的情況下直接接管域名的權力,但該請求最終被駁回[4]。

根據公開資料,我們了解到有以下三種常見途徑可以對已注冊的域名進行接管:

1、 向域名注冊機構(注冊局/注冊商)提起關于域名濫用(DNS Abuse)的投訴。根據2020年全球48家大型域名注冊機構達成的最新共識[5],一旦某個域名經調查證實與惡意軟件(malware)、僵尸網絡(botnet)、釣魚攻擊(phishing)和網絡詐騙(spam)相關,注冊機構必須對整個域名進行關停(disable)處理。不過,對于其他存在爭議的用途以及網頁內容(例如版權糾紛、色情內容)是否屬于域名濫用,仍未有明確的共識和規范。

域名注冊機構可通過郵件或在線表單的方式接收關于域名濫用的投訴,在確認濫用投訴屬實(例如屬于上述共識中的惡意行為之一)或有注冊機構所在地區法庭文件支持的情況下,通過此途徑的投訴通常可以被接受并進行關停處理。

圖5 注冊商GoDaddy的域名濫用投訴頁面受理類型包括惡意軟件、釣魚、欺詐等

2、通過域名仲裁啟動統一快速中止程序(URS)[6]。該程序主要用于解決由商標權、域名搶注等原因產生的域名爭議問題。投訴人需向域名爭議解決中心等提供URS服務的機構提出申請,相關域名在仲裁期間將被鎖定交易。當投訴人勝訴時,域名在剩余注冊期內將被暫停使用并解析到URS信息頁面(圖6),直到域名被轉讓給投訴人。

圖6 被統一快速中止程序(URS)暫停的域名

3、 通過法庭命令進行域名接管。ICANN于2012年5月發布的一份指導性文件[7]指出,在美國或其他政府管轄的區域內接管域名,需要由法院簽發“扣押令”(seizure warrant)或“限制令”(restraining order),明確接管的原因和相關機構需采取的具體措施。在本次事件中,美國注冊局Verisign正是依據美國法院的命令對伊朗媒體域名進行了查封。

近年來,在美國通過法庭命令接管本國注冊機構管理的域名似乎已成為一種常見的司法實踐。此前通過這一途徑接管的案例包括極端組織域名[8]、數字貨幣交易所[9]和音樂網站[10]。值得注意的是,一些安全公司等非政府機構也可以向法院提起訴訟,進行域名的接管。例如,2012年微軟通過法庭命令接管了域名3322.org(.org域名的注冊局為美國的PIR)[11];2020年微軟聯合其他安全公司接管了SolarWinds攻擊事件中使用的域名[12],理由均為域名被用于網絡犯罪活動。英國國家網絡安全中心NCSC在2019年也查封了17萬多個惡意網站域名[14]。

04 爭議與討論

關于域名接管的流程和依據,雖然域名注冊社區已經達成了部分共識,但對有些問題仍然存在較大的爭議。目前,關于域名接管的具體流程仍然缺乏最佳實踐。我們經過查閱公開資料并與技術專家進行討論,對若干個安全社區可能關切的問題進行探討,供同行參考。

1、 域名注冊機構(注冊局/注冊商)會處理所有的域名接管請求嗎?

不會。根據域名注冊機構的普遍共識,如果有明確證據證明域名被濫用于僵尸網絡等惡意行為,域名接管請求很可能被接受并處理。此外,注冊機構由于受到所在國家或地區的監管,通常需要執行本國法院下達的命令。其他情況則可能取決于域名注冊機構自身的評判標準。

2、 域名注冊機構如何處理跨境法院發起的域名接管請求?

不確定。域名注冊機構一般沒有義務處理跨境法院發起的域名接管請求。這主要是由于不同地區的現行法律存在差異,跨境管轄容易引起爭議。

3、 域名被美國政府“查封”后,還有恢復的可能性嗎?

理論上有。通過法律途徑接管域名存在上訴或抗訴途徑。在本次事件中,美國政府對伊朗域名的查封遵循了美國對于“境外資產”的查封流程,被查封域名的持有者可以通過法律途徑上訴。不過,最終是否能夠恢復域名,取決于能否在法庭勝訴。

4、 “.com”域名被美國法院強行查封的風險是否永久存在?

不一定。本次事件中的域名被查封,主要是因為它們的頂級域(.com/.net等)由位于美國的注冊局管理,因此需要執行美國法院下達的接管命令。實際上,域名頂級域的運行管理職責均由ICANN授權,遵守ICANN的共識政策及協議要求;注冊局協議(Registry Agreement,RA)有一定期限,到期需要續約并存在重新競標的可能,任何符合資質的公司或機構均可以參與競標。如果將來美國以外的其他公司通過競標獲得了.com頂級域的管理權,則可能不受美國的管轄。當然,Verisign對 .com的RA有優先續約權,這得益于該公司在過去維護.com頂級域期間沒有發生過任何服務中斷事件,因此獲取了技術社區和域名注冊人的信任。

5、 美國執法部門可以通過類似途徑查封互聯網上所有的域名嗎?

不能。自從New gTLD計劃實施以來,互聯網域名空間已有超過1000個通用頂級域被批準使用,其中約500個通用頂級域的注冊局為非美國機構[13],例如“.top”、“.online”、“.網址”等。大量位于其他國家的域名管理機構無需響應美國執法部門的域名查封命令。

6、 本次事件是否證明“美國完全控制著互聯網域名系統”?

不能。在域名被查封后,伊朗媒體更換域名頂級域至伊朗國家域名.ir使得網站繼續正常運轉。如果美國政府完全控制著域名系統,那么它可以通過根服務器把presstv.ir域名也“查封”了。該事件恰恰說明,美國政府此次沒有通過控制根服務器(或者做不到),讓不喜歡的某個國家頂級域名解析出現問題。

7、 我需要把.com等域名換成美國管轄以外的其他頂級域域名嗎?

如果你認為你的網站內容可能觸犯美國法律,可以考慮把域名切換成其他國家注冊局管理的頂級域名。但是,你的網站內容仍然受到該頂級域名注冊局所在國家的管轄,比如,切換成.cn就必須接受中國法律的管轄。

8、 除美國之外,其它國家有可能“查封”.com域名么?

有。由于域名注冊人是通過注冊商來進行域名注冊,也就意味著某國政府可不通過注冊局、而是通過其管轄的當地注冊商,來對判定違規的域名進行諸如“凍結”“接管”“轉移”等處置。

附錄:知名的域名接管事件

  • 1.3322.org

    3322.org是中國某公司運維的動態域名,曾經被用作Nitol僵尸網絡的域名。為打擊Nitol僵尸網絡,微軟公司獲得法院許可,接管動態DNS服務提供商 3322.org 域名 (https://krebsonsecurity.com/2012/09/microsoft-disrupts-nitol-botnet-in-piracy-sweep/)

  • 2.dajaz1.com

    知名嘻哈網站因未獲得音樂版權,被美國唱片業協會舉報,美國聯邦當局將域名臨時查封,并于一年后將其歸還(https://www.wired.com/2012/05/weak-evidence-seizure/)

  • 3.libertyreserve.com

    自由儲備數據貨幣被廣泛用于地下網絡犯罪交易,網站創始人因涉嫌洗錢被西班牙政府逮捕,網站隨后被關停(https://krebsonsecurity.com/2013/05/reports-liberty-reserve-founder-arrested-site-shuttered/)

  • 4.Avalanche

    “雪崩”分布式云主機被網絡犯罪人員廣泛用于托管惡意軟件,發起網絡釣魚攻擊。美國、英國和歐洲的聯邦調查人員共同查封600余臺服務器和80余萬個網站域名。(https://krebsonsecurity.com/2016/12/avalanche-global-fraud-ring-dismantled/)

參考文獻

[1] United States Seizes Websites Used by the Iranian Islamic Radio and Television Union and Kata’ib Hizballah. https://www.justice.gov/opa/pr/united-states-seizes-websites-used-iranian-islamic-radio-and-television-union-and-kata-ib

[2] United States Seizes Domain Names Used by Iran’s Islamic Revolutionary Guard Corps. https://www.justice.gov/opa/pr/united-states-seizes-domain-names-used-iran-s-islamic-revolutionary-guard-corps

[3] 360 Netlab. 被攔截的伊朗域名的快速分析. https://blog.netlab.360.com/analysis-of-seized-iran-domains/

[4] Verisign Anti-Abuse Domain Use Policy. https://www.icann.org/en/system/files/files/verisign-com-net-name-request-10oct11-en.pdf

[5] Framework to Address Abuse. https://dnsabuseframework.org/media/files/2020-05-29_DNSAbuseFramework.pdf

[6] Uniform Rapid Suspension System (URS). https://newgtlds.icann.org/en/applicants/urs/procedure-01mar13-en.pdf

[7] ICANN. Guidance for Preparing Domain Name Orders, Seizures & Takedowns. https://www.icann.org/en/system/files/files/guidance-domain-seizures-07mar12-en.pdf

[8] https://www.justice.gov/opa/press-release/file/1334551/download

[9] Reports: Liberty Reserve Founder Arrested, Site Shuttered. https://krebsonsecurity.com/2013/05/reports-liberty-reserve-founder-arrested-site-shuttered/

[10] Feds Seizes Hip-Hop Site for a Year, Waiting for Proof of Infringement. https://www.wired.com/2012/05/weak-evidence-seizure/

[11] Microsoft seizes Chinese dot-org to kill Nitol bot army. https://www.theregister.com/2012/09/13/botnet_takedown/

[12] Microsoft partnered with security firms to sinkhole the C2 used in SolarWinds hack. https://securityaffairs.co/wordpress/112342/apt/microsoft-seized-c2-solarwinds-hack.html

[13] Registry Listings. https://www.icann.org/resources/pages/listing-2012-02-25-en

[14] NCSC took down 177,335 phishing websites in the past one year: https://www.teiss.co.uk/ncsc-phishing-websites-action/

Paper 本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/1625/