解锁 BADBOX 2.0 的 DNS 密码箱

HUMAN 旗下的 Satori 威胁情报与研究团队近日与 Google、趋势科技、Shadowserver 等合作伙伴合作，发现并部分瓦解了 BADBOX 2.0。这一威胁被称为迄今发现的最大规模的联网电视（CTV）僵尸网络。

BADBOX 2.0 感染的设备被纳入一个庞大的僵尸网络，涉及程序化广告和点击欺诈、住宅代理服务、账户接管（ATO）、分布式拒绝服务（DDoS）攻击、虚假账号创建、恶意软件分发及一次性密码（OTP）窃取等活动。根据报告发布时的数据，已有超过 100 万台消费级设备受到影响。

研究人员识别出 109 个命令与控制（C&C）域名作为威胁指标（IoCs），WhoisXML API 在此基础上进行了分析和扩展，通过 DNS 调查进一步发现：

• 与 915 个域名相关联的电子邮件地址，其中 8 个域名被判定为恶意

• 50 个 IP 地址，其中 34 个已被用于攻击

• 211 个与 IP 地址关联的域名

• 2,078 个基于字符串的相关域名，其中 2 个已与威胁相关联
  
  分析样本供免费下载： Unlocking the DNS Strongbox of BADBOX 2.0 | WhoisXML API

深度分析 BADBOX 2.0 的 IoC

我们首先使用 Bulk WHOIS API 对这 109 个 IoC 域名进行了 WHOIS 查询，发现所有域名都有当前 WHOIS 信息。具体如下：

• 109 个域名注册时间跨度从 2003 年至 2025 年：

  • 2023 年注册：30 个

  • 2024 年注册：25 个

  • 2019 年注册：14 个

  • 2025 年注册：9 个

  • 2022 年注册：8 个

  • 2021 年注册：7 个

  • 2017 年注册：6 个

  • 2020 年注册：3 个

  • 其他年份（2003、2008、2011、2014、2016 各 1 个）

• 11 家注册商负责这些域名的注册：

  • GoDaddy（70 个）

  • 阿里云（15 个）

  • Stichting Registrar of Last Resort Foundation（7 个）

  • NameSilo（5 个）

  • Dynadot（4 个）

  • Cloudflare 和 Name.com（各 2 个）

  • 1API、DNSPod、Gname、Internet Domain Service（各 1 个）

• 仅 85 个域名显示了注册人所在国家：

  • 美国：68 个

  • 中国：16 个

  • 德国：1 个

  • 另外 24 个没有显示国家信息

在 DNS Chronicle API 的查询中，109 个域名中有 105 个有历史域名到 IP 的解析记录。其中 duoduodev[.]com、flyermobi[.]com、motiyu[.]net 和 qazwsxedc[.]xyz 是最早解析的，时间为 2019 年 10 月 4 日。

深入 DNS 密码箱：发现更多线索

我们进一步使用 用于历史 WHOIS 数据访问和轻松集成的 API | WhoisXML API 查询这 109 个 IoC 域名的历史记录，发现其中 61 个域名在历史 WHOIS 中关联了 101 个电子邮件地址（去重后），其中 45 个是公开的邮箱。

通过 使用注册人详细信息反向 WHOIS API 调用域名查询 | WhoisXML API，我们查询了这 45 个邮箱的其他关联域名，发现 44 个邮箱曾出现在多个域名的历史记录中。其中有 19 个邮箱可能属于“域名投资人”，由于关联域名数量庞大，因此被排除在进一步分析之外。剩下的 25 个邮箱目前关联了 915 个域名（去除 IoC 和重复项后）。

我们使用 威胁情报API | WhoisXML APIEasily identify malicious resources and retrieve their threat information with Threat Intelligence API.https://zh.threat-intelligence.whoisxmlapi.com/api 对这 915 个域名进行了风险查询，发现其中 8 个已经与已知威胁相关联。

 

声明：

我们在威胁识别上持谨慎立场，致力于提供有助于防范潜在风险的信息。因此，部分被标注为“威胁”或“恶意”的实体，在进一步调查或背景变更后，可能被判定为无害。我们强烈建议进行补充调查以验证所提供信息。