zhangzaifeng - 奇安信 X 实验室

奇安信 X 实验室

zhangzaifeng

顶级域名ai.com认证Deepseek? ai.com的前世今生

在互联网世界中，顶级这个词常常被赋予神秘而崇高的含义。最近有媒体报道称，“顶级域名的持有者ai.com现在跳转到deepseek,表明已经认可了deepseek的能力”，之前还有一些技术背景的人士声称 ai.com已被OpenAI 收购。这些信息听起来非常专业，似乎确凿无疑，但经过仔细查证后发现，这些都是误传或错误解读。随着 DeepSeek的迅速走红，市场上鱼龙混杂的信息大量涌现，真假难辨，容易让人混淆视听。由于大规模的基础数据支持，奇安信Xlab在多个领域拥有很好的全局视野，能够实时监测互联网中的各种活动，也因此能够从数据角度解读很多网络中发生的现象。本文正是基于我们的数据纬度，带大家一步步了解 ai.com 的真实历史和现状，帮助大家从纷繁复杂的信息中辨别真伪，同时也为大家提供一些技术背景知识，以便更全面地理解这一现象。 ai.com的前世今生公开的whois数据显示，ai.com域名注册于1993年。待售状态从我们自己的数据能够看到该域名的最早信息为2014年，再之前的状态缺乏数据不可考了。 2014年之后的该域名为待售状态，并且其待售状态可以分为两部

DeepSeek 出现大批仿冒域名并在持续增加中

PassiveDNS Featured

DeepSeek 出现大批仿冒域名并在持续增加中

在网络安全领域，由于大规模的基础数据支持，奇安信Xlab在多个领域拥有很好的全局视野，能够实时监测互联网中的各种活动，也因此能够发现许多有趣的现象。每当出现重大突发事件或现象级的爆火产品，总会有不同目的的行为随之而来。我们不仅能看到技术进步如何推动社会发展，同时也能看到一些别有用心的行为在暗中滋生。例如，最近的加州大火引发了全球的关注，人们纷纷捐款以支援灾区。然而，黑客们却利用这种同情心，迅速设立假冒救灾网站，通过钓鱼手段骗取善款，导致不少善良的捐助者上当受骗。参见这里的新闻报告。类似的情况，在科技领域的现象级事件中也屡见不鲜。最近，中国的DeepSeek 成为了人工智能领域的现象级爆火服务，短时间内吸引了大量关注。然而，我们在大规模域名观测系统中发现，DeepSeek 的爆火也带来了大量的仿冒网站、钓鱼网站。目前，我们检测到的仿冒 DeepSeek 相关网站数量，已成为近期监测数据中仿冒、抢注、钓鱼最多的类别之一。通常假冒抢注的网址数字多在十位级别至多百级别，但是这次，我们已经看到了超过2千个域名，而且现在看这个数字还在快速增加。这类模仿现象，有的可能只是出于商业目的，想

8220 Mining Gang's New Tool: k4spreader

8220 Mining Gang's New Tool: k4spreader

Overview On June 17, 2024, we discovered an ELF sample written in C language with a detection rate of 0 on VT. This sample was packed with a modified upx packer. After unpacking, another modified upx-packed elf file was obtained which was written in CGO mode. After analysis, it was

8220挖矿团伙的新玩具：k4spreader

8220挖矿团伙的新玩具：k4spreader

一、概述 2024年6月17号我们发现了一个VT 0检测的使用c语言编写的ELF样本，这个样本使用变形的upx加壳，脱壳后得到了另一个变形的upx加壳的elf文件，使用cgo的方式编写。经过分析发现这是来自“8220“挖矿团伙的新工具，用来安装其他恶意软件执行，主要是构建Tsunami DDoS僵尸网络和安装PwnRig挖矿程序。根据样本中的函数名称将其命名为“k4spreader”，进一步分析了VT的和蜜罐的数据后，发现k4spreader尚处于开发阶段，但已经出现3个变种，因此在这做一个简单介绍。 “8220“团伙：又被称为“Water Sigbin”，是一个来自中国的、自2017年以来持续活跃的挖矿团伙，2017年11月，使用当时还是0day状态的Weblogic反序列化漏洞（CVE-2017-10271）入侵服务器植入挖矿木马，这是第一次被公开披露的使用0day漏洞入侵服务器植入挖矿木马的案例。该团伙擅长利用反序列化、未授权访问等漏洞攻击Windows和Linux服务器，随后下载僵尸网络程序、挖矿程序、端口扫描工具等对主机进行控制和恶意利用。之前挖矿是该团伙主要活跃领域，

Deep Dive into NXDOMAIN Data in China

Deep Dive into NXDOMAIN Data in China

The Domain Name System (DNS) is an essential protocol in the architecture of today's Internet. It routinely translates domain names into IP addresses and also often handles a multitude of invalid queries. These include requests for non-existent domain names, termed NXDOMAIN. A high volume of such invalid queries can adversely

中国全网DNS错误数据分析

在电影《流浪地球2》中，重启全球互联网的情节让观众印象深刻，影片中重启根服务器象征着全球DNS（Domain Name System）解析服务的重新启动。在现实世界中，DNS不仅承担着将域名转换为IP地址的常规解析任务，还经常接收到众多无效查询：不存在的域名，即NXDOMAIN（Non-Existent Domain）。大量无效查询会影响用户上网体验，增加网络运营商负担，甚至某些情况下还会危及到各级DNS解析器的稳定性。作为中国主要的DNS基础设施服务提供商之一，奇安信运营着国内规模最大的公共DNS解析系统和最大的公开的PassiveDNS系统。这赋予了我们广阔且清晰的视角，能够从全国范围内观测DNS运行状况，对DNS运作过程进行充分的分析和解读。本文依托奇安信公共DNS海量的递归解析数据，从DNS解析数据中一个关键指标——NXDOMAIN数据入手，从中国视角出发对其进行全面分析。文章共分为三个部分：第一部分比较了中国与全球DNS系统中错误域名查询的共性与差异，并探讨了这些差异的原因。第二部分从域名的视角出发，全面分析错误域名的产生原因及其影响。第三部分从地域的角度，对比中国不