拨开俄乌网络战迷雾-域名证书测绘篇

一、前言

俄乌战争超出传统战争模式,是结合了网络攻击、舆论影响等的混合战争形式。乌克兰在俄发起战争的第二天便呼吁全球黑客声援,同时向全球域名管理机构ICANN申请对俄发起制裁,禁止俄域名解析和证书使用。ICANN以证书归第三方机构管理、与其不相关拒绝,但后续媒体声称有CA机构响应乌克兰请求,对俄发起证书制裁。
本文通过测绘俄乌两国重要顶级域名相关证书状态,发现对俄证书制裁实例,验证证书制裁相关新闻的真实性,在一定程度上跟踪俄乌在网络空间中的活动,发现俄乌战争态势端倪。

二、俄乌网络战证书舆论迷雾

2.1  证书制裁相关新闻时间线概览

图 2.1  俄乌网络战证书制裁相关新闻时间线

2.2 乌克兰申请对俄进行证书制裁

2022228日,乌克兰副总理Mykhailo Fedorov发了一封邮件给全球域名管理机构ICANN,希望ICANN能够取消俄罗斯的顶级域名,协助撤销相关域名的SSL证书,以及关闭俄罗斯境内的DNS服务器。邮件原文[1]如下:

图 2.2  乌克兰申请制裁邮件原文

2.3  ICANN以政策与技术为由拒绝

202232日,ICANN回应称其作为互联网公益组织,没有权利和能力对俄罗斯乃至任意国家进行断网制裁,以政策与技术为由拒绝。邮件原文[2]如下:

图 2.3  ICANN拒绝申请邮件原文

2.4  俄媒体CNews声称Sectigo停止对俄证书服务

正如ICANN所述,证书由第三方证书权威机构(Certificate Authority , CA)颁发,每个CA都可以选择自身的立场。202235日,俄罗斯科技媒体CNews报道[3]声称,从来自Telegram频道中的消息(根据[4]推测是202233日的消息)表明,Sectigo已停止接受为俄罗斯.ru.рф顶级域颁发SSL证书的申请。不过Sectigo并未对此进行回复。

图 2.4  CNews报道Sectigo停止服务(俄翻中)

2.5  Digicert扩大对俄证书制裁的顶级域范围

2022年3月11日,Digicert同样选择支持乌克兰,对俄进行证书制裁[5]。同时不仅制裁俄.ru和.рф,还包含白俄罗斯和鞑靼斯坦等多个顶级域,具体列表[6]如下:.by, .moscow, .ru, .ru.com,.ru.net, .su, .tatar, .бел, .москва, .рус, and .рф。

图 2.5  Digicert拒绝对俄证书服务邮件通知

三、俄乌重点域名证书状态跟踪

本文通过从多个公开百万级域名排名列表中,获取与俄乌国家顶级域相关Top 1k域名,对每个域名对应的证书进行解析,分析证书的CA分布、过期状态、生效日期等,验证上述相关新闻的真实性,推测俄乌网络战活动。
域名列表包括AlexaCisco UmbrellaMajestic;过滤顶级域名包括乌克兰2个(.ua乌克兰国家顶级域、.укр=.xn--j1amh乌克兰IDN顶级域),俄罗斯3个(.ru 俄罗斯国家顶级域、.su前苏联国家顶级域、.рф=.xn--p1ai俄罗斯IDN顶级域);观测时间从2022311日到327日止。

3.1  Sectigo证书制裁实例发现

311日获取的域名证书中,发现1open.ru的域名证书在314日获取的证书撤销列表(Certificate Revoked List, CRL)中,其原本过期时间是202266日。在314日重新获取open.ru的证书进行验证,发现其证书确实已发生变化,颁发机构CASectigo变成GlobalSign。从新证书的开始有效期(34日),结合前述CNewsTelegram得到的消息时间(33日),有理由怀疑,这是俄为了应对Sectigo的证书制裁而执行的操作。而Sectigo37日把旧证书添加到了CRL中,但在311日仍能根据域名获取到旧证书,反映俄更新证书速度较慢,猜测可能受到了证书申请和证书替换的流程影响

图 3.1  open.ru旧新证书情况(2022.3.11和3.14观测)

3.2  俄乌域名近期排名情况

如图 3.2 所示,俄乌顶级域在3个域名排名中命中的域名总个数排序为:Majestic > Alexa > Cisco UmbrellaUmbrella命中数量较少,应该是因为其数据来源于被动DNS数据[7],而MajesticAlexa来源于浏览器访问等数据[8]导致。Alexa命中数量在21日左右发生凹陷,应该与其每日获取到的总域名数量[9]发生凹陷有较大关系;不过若结合Umbrella同时段数据凸起,也有一定可能是因为发生网站访问失败,而使得DNS请求增加,影响Umbrella排名。Majestic命中数量在观测时间内发生微小波动,相对稳定。

图 3.2  在不同排名命中的俄乌总域名个数波动

如图 3.3 所示,俄乌顶级域在各大域名排名中每日命中的域名总个数波动如下,在3月20日之后,乌克兰数量呈上升趋势,而俄罗斯呈下降趋势,均在一定程度上受到Alexa总个数波动影响。虽然俄罗斯域名个数仍约为乌克兰的10倍左右,但可能在一定程度上说明乌克兰近期在网络空间中更受关注,而俄罗斯可能因为受到各方面网络制裁的原因,网站访问量减少,导致域名排名下降,命中数量减少

图 3.3  俄乌分别命中的总域名个数波动

3.3  重点域名证书获取情况

为了排除域名排名的影响,从俄乌顶级域命中的域名中取Top 1k的域名作为后续分析的重点域名,获取域名对应的证书。每日成功获取证书的域名个数如图 3.4 所示,整体数量随时间存在微小波动,相对稳定

图 3.4  俄乌每日成功获取证书的域名个数

3.4  证书CA分布情况

基于上述俄乌约1.4k个域名获取到的约3.5k个证书(包括叶证书、中间证书、根证书),统计证书CA的分布情况,如图 3.5 所示,以327日观测为例。对比俄乌自身叶证书及所有证书的CA分布,可以看出叶证书CA分布更为集中;而无论对比叶证书还是所有证书,俄证书CA分布比乌都更为分散,便于风险均摊。其中SectigoDigicert在俄证书CA占比约20%,具有一定影响力

图 3.5  俄乌证书CA分布情况(3月27日观测)

同时跟踪327日证书占比Top 10CA在观测时间内的波动,如图 3.6 所示。整体各大CA证书占比排序基本稳定,各自证书占比有一定波动。Sectigo在俄叶证书占比有微弱下降趋势。

图 3.6  俄乌证书占比Top10的CA分布波动

3.5  证书过期状态情况

如图 3.7 所示,在观测时间中,俄乌所有证书中过期证书约70个左右,叶证书中过期证书约50个左右,个数存在小幅波动。过期证书占比均值从左到右、从上到下依次约为3.84%7.17%4.47%7.95%叶证书更容易过期,根证书和中间证书状态相对稳定。在319日,俄过期证书个数及占比均处于谷底,结合图 3.3 中俄命中域名个数320日处于谷底,怀疑前一天证书过期可能也影响了第二天的域名排名

图 3.7  俄乌证书过期状态跟踪

3.6  证书生效日期情况

如图 3.8 所示,以327日观测为例,统计生效日期在一年内的证书个数,发现俄乌近期新增生效证书较各自以往都多,且几乎都是叶证书,而中间证书和根证书状态稳定,说明俄乌近期证书活跃,很可能是因为攻击发生频繁导致

图 3.8  俄乌重点证书生效日期一年内分布

四、 测绘推测俄乌网络战活动

4.1俄罗斯的战前准备和防守应对

如图 4.1 所示,进一步分析俄近60天的新增生效证书,发现俄在某些日期时1.251.302.102.232.273.13.23.33.9新增生效证书个数相对更高。结合2.24 俄乌战争爆发、2.25乌呼吁黑客支援、3.5 Sectigo 停止证书服务等安全事件,猜测可能是为了战前准备、攻击防守、应对Sectigo证书制裁。俄为战争所做的一些操作,反映到了证书测绘结果中

图 4.1  俄罗斯60天内新增证书日期分布

4.2  乌克兰的战前网安事件关联

同理如图 4.2 所示,进一步分析乌近60天的新增生效证书。发现乌克兰新增生效证书较俄罗斯稍多,主要是因为2.1-2.3以及2.20新增的大量证书,猜测与215日乌克兰指控俄罗斯对其一系列网络攻击[10]有关

图 4.2  乌克兰60天内新增证书日期分布

五、总结

俄乌战争结合网络攻击、舆论影响,真真假假,难以分清。通过对域名证书的跟踪测绘,可以发现一些俄乌战争态势端倪,结合舆情分析等其他维度,从侧面推测和佐证一些观点,透视俄乌网络战争迷雾。
目前看来,针对俄罗斯在网络空间中的证书制裁确实存在,但俄罗斯也有其应对策略,影响暂时没有想象中那么大。不过如果顶级域制裁范围再扩大、CA执行力度落实、其他CA跟随舆论环境对俄制裁,从占比上看会对俄产生不小影响。这可能也是俄建立自身根CA[11]的原因。

参考文献

[1]    http://atlarge-lists.icann.org/pipermail/at-large/2022q1/007814.html
[2]    https://www.icann.org/en/system/files/correspondence/marby-to-fedorov-02mar22-en.pdf
[3]    https://www.cnews.ru/news/top/2022-03-05_tsifrovaya_vojna_kakie_sanktsii
[4]    https://www.gogetssl.com/news/27.html
[5]    https://app.updates.digicert.com/e/es?s=1701211846&e=477399&elqTrackId=9f7f91354c5449a39c8dec628cf9060b&elq=96ad3c1051874545956ac30724fa0bc0&elqaid=10330&elqat=1
[6]    https://knowledge.digicert.com/solution/Embargoed-Countries-and-Regions.html
[7]    https://s3-us-west-1.amazonaws.com/umbrella-static/index.html
[8]    https://tranco-list.eu/methodology
[9]    http://s3.amazonaws.com/alexa-static/top-1m.csv.zip
[10]https://zh.wikipedia.org/wiki/2022%E5%B9%B4%E4%BF%84%E7%BD%97%E6%96%AF%E5%AF%B9%E4%B9%8C%E5%85%8B%E5%85%B0%E7%9A%84%E7%BD%91%E7%BB%9C%E6%94%BB%E5%87%BB
[11]https://crt.sh/?id=6316640888
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author