一、前言
俄乌战争超出传统战争模式,是结合了网络攻击、舆论影响等的混合战争形式。乌克兰在俄发起战争的第二天便呼吁全球黑客声援,同时向全球域名管理机构ICANN申请对俄发起制裁,禁止俄域名解析和证书使用。ICANN以证书归第三方机构管理、与其不相关拒绝,但后续媒体声称有CA机构响应乌克兰请求,对俄发起证书制裁。
本文通过测绘俄乌两国重要顶级域名相关证书状态,发现对俄证书制裁实例,验证证书制裁相关新闻的真实性,在一定程度上跟踪俄乌在网络空间中的活动,发现俄乌战争态势端倪。
二、俄乌网络战证书舆论迷雾
2.1 证书制裁相关新闻时间线概览
图 2.1 俄乌网络战证书制裁相关新闻时间线
2.2 乌克兰申请对俄进行证书制裁
2022年2月28日,乌克兰副总理Mykhailo Fedorov发了一封邮件给全球域名管理机构ICANN,希望ICANN能够取消俄罗斯的顶级域名,协助撤销相关域名的SSL证书,以及关闭俄罗斯境内的DNS服务器。邮件原文[1]如下:
图 2.2 乌克兰申请制裁邮件原文
2.3 ICANN以政策与技术为由拒绝
2022年3月2日,ICANN回应称其作为互联网公益组织,没有权利和能力对俄罗斯乃至任意国家进行断网制裁,以政策与技术为由拒绝。邮件原文[2]如下:
图 2.3 ICANN拒绝申请邮件原文
2.4 俄媒体CNews声称Sectigo停止对俄证书服务
正如ICANN所述,证书由第三方证书权威机构(Certificate Authority , CA)颁发,每个CA都可以选择自身的立场。2022年3月5日,俄罗斯科技媒体CNews报道[3]声称,从来自Telegram频道中的消息(根据[4]推测是2022年3月3日的消息)表明,Sectigo已停止接受为俄罗斯.ru和.рф顶级域颁发SSL证书的申请。不过Sectigo并未对此进行回复。
图 2.4 CNews报道Sectigo停止服务(俄翻中)
2.5 Digicert扩大对俄证书制裁的顶级域范围
2022年3月11日,Digicert同样选择支持乌克兰,对俄进行证书制裁[5]。同时不仅制裁俄.ru和.рф,还包含白俄罗斯和鞑靼斯坦等多个顶级域,具体列表[6]如下:.by, .moscow, .ru, .ru.com,.ru.net, .su, .tatar, .бел, .москва, .рус, and .рф。
图 2.5 Digicert拒绝对俄证书服务邮件通知
三、俄乌重点域名证书状态跟踪
本文通过从多个公开百万级域名排名列表中,获取与俄乌国家顶级域相关Top 1k域名,对每个域名对应的证书进行解析,分析证书的CA分布、过期状态、生效日期等,验证上述相关新闻的真实性,推测俄乌网络战活动。
域名列表包括Alexa、Cisco Umbrella、Majestic;过滤顶级域名包括乌克兰2个(.ua乌克兰国家顶级域、.укр=.xn--j1amh乌克兰IDN顶级域),俄罗斯3个(.ru 俄罗斯国家顶级域、.su前苏联国家顶级域、.рф=.xn--p1ai俄罗斯IDN顶级域);观测时间从2022年3月11日到3月27日止。
3.1 Sectigo证书制裁实例发现
在3月11日获取的域名证书中,发现1例open.ru的域名证书在3月14日获取的证书撤销列表(Certificate Revoked List, CRL)中,其原本过期时间是2022年6月6日。在3月14日重新获取open.ru的证书进行验证,发现其证书确实已发生变化,颁发机构CA由Sectigo变成GlobalSign。从新证书的开始有效期(3月4日),结合前述CNews从Telegram得到的消息时间(3月3日),有理由怀疑,这是俄为了应对Sectigo的证书制裁而执行的操作。而Sectigo在3月7日把旧证书添加到了CRL中,但在3月11日仍能根据域名获取到旧证书,反映俄更新证书速度较慢,猜测可能受到了证书申请和证书替换的流程影响。
图 3.1 open.ru旧新证书情况(2022.3.11和3.14观测)
3.2 俄乌域名近期排名情况
如图 3.2 所示,俄乌顶级域在3个域名排名中命中的域名总个数排序为:Majestic > Alexa > Cisco Umbrella。Umbrella命中数量较少,应该是因为其数据来源于被动DNS数据[7],而Majestic和Alexa来源于浏览器访问等数据[8]导致。Alexa命中数量在21日左右发生凹陷,应该与其每日获取到的总域名数量[9]发生凹陷有较大关系;不过若结合Umbrella同时段数据凸起,也有一定可能是因为发生网站访问失败,而使得DNS请求增加,影响Umbrella排名。Majestic命中数量在观测时间内发生微小波动,相对稳定。
图 3.2 在不同排名命中的俄乌总域名个数波动
如图 3.3 所示,俄乌顶级域在各大域名排名中每日命中的域名总个数波动如下,在3月20日之后,乌克兰数量呈上升趋势,而俄罗斯呈下降趋势,均在一定程度上受到Alexa总个数波动影响。虽然俄罗斯域名个数仍约为乌克兰的10倍左右,但可能在一定程度上说明乌克兰近期在网络空间中更受关注,而俄罗斯可能因为受到各方面网络制裁的原因,网站访问量减少,导致域名排名下降,命中数量减少。
图 3.3 俄乌分别命中的总域名个数波动
3.3 重点域名证书获取情况
为了排除域名排名的影响,从俄乌顶级域命中的域名中取Top 1k的域名作为后续分析的重点域名,获取域名对应的证书。每日成功获取证书的域名个数如图 3.4 所示,整体数量随时间存在微小波动,相对稳定。
图 3.4 俄乌每日成功获取证书的域名个数
3.4 证书CA分布情况
基于上述俄乌约1.4k个域名获取到的约3.5k个证书(包括叶证书、中间证书、根证书),统计证书CA的分布情况,如图 3.5 所示,以3月27日观测为例。对比俄乌自身叶证书及所有证书的CA分布,可以看出叶证书CA分布更为集中;而无论对比叶证书还是所有证书,俄证书CA分布比乌都更为分散,便于风险均摊。其中Sectigo和Digicert在俄证书CA占比约20%,具有一定影响力。
图 3.5 俄乌证书CA分布情况(3月27日观测)
同时跟踪3月27日证书占比Top 10的CA在观测时间内的波动,如图 3.6 所示。整体各大CA证书占比排序基本稳定,各自证书占比有一定波动。Sectigo在俄叶证书占比有微弱下降趋势。
图 3.6 俄乌证书占比Top10的CA分布波动
3.5 证书过期状态情况
如图 3.7 所示,在观测时间中,俄乌所有证书中过期证书约70个左右,叶证书中过期证书约50个左右,个数存在小幅波动。过期证书占比均值从左到右、从上到下依次约为3.84%、7.17%、4.47%、7.95%。叶证书更容易过期,根证书和中间证书状态相对稳定。在3月19日,俄过期证书个数及占比均处于谷底,结合图 3.3 中俄命中域名个数3月20日处于谷底,怀疑前一天证书过期可能也影响了第二天的域名排名。
图 3.7 俄乌证书过期状态跟踪
3.6 证书生效日期情况
如图 3.8 所示,以3月27日观测为例,统计生效日期在一年内的证书个数,发现俄乌近期新增生效证书较各自以往都多,且几乎都是叶证书,而中间证书和根证书状态稳定,说明俄乌近期证书活跃,很可能是因为攻击发生频繁导致。
图 3.8 俄乌重点证书生效日期一年内分布
四、 测绘推测俄乌网络战活动
4.1俄罗斯的战前准备和防守应对
如图 4.1 所示,进一步分析俄近60天的新增生效证书,发现俄在某些日期时(1.25、1.30、2.10、2.23、2.27、3.1、3.2、3.3、3.9)新增生效证书个数相对更高。结合2.24 俄乌战争爆发、2.25乌呼吁黑客支援、3.5 Sectigo 停止证书服务等安全事件,猜测可能是为了战前准备、攻击防守、应对Sectigo证书制裁。俄为战争所做的一些操作,反映到了证书测绘结果中。
图 4.1 俄罗斯60天内新增证书日期分布
4.2 乌克兰的战前网安事件关联
同理如图 4.2 所示,进一步分析乌近60天的新增生效证书。发现乌克兰新增生效证书较俄罗斯稍多,主要是因为2.1-2.3以及2.20新增的大量证书,猜测与2月15日乌克兰指控俄罗斯对其一系列网络攻击[10]有关。
图 4.2 乌克兰60天内新增证书日期分布
五、总结
俄乌战争结合网络攻击、舆论影响,真真假假,难以分清。通过对域名证书的跟踪测绘,可以发现一些俄乌战争态势端倪,结合舆情分析等其他维度,从侧面推测和佐证一些观点,透视俄乌网络战争迷雾。
目前看来,针对俄罗斯在网络空间中的证书制裁确实存在,但俄罗斯也有其应对策略,影响暂时没有想象中那么大。不过如果顶级域制裁范围再扩大、CA执行力度落实、其他CA跟随舆论环境对俄制裁,从占比上看会对俄产生不小影响。这可能也是俄建立自身根CA[11]的原因。
参考文献
[1] http://atlarge-lists.icann.org/pipermail/at-large/2022q1/007814.html
[2] https://www.icann.org/en/system/files/correspondence/marby-to-fedorov-02mar22-en.pdf
[3] https://www.cnews.ru/news/top/2022-03-05_tsifrovaya_vojna_kakie_sanktsii
[4] https://www.gogetssl.com/news/27.html
[5] https://app.updates.digicert.com/e/es?s=1701211846&e=477399&elqTrackId=9f7f91354c5449a39c8dec628cf9060b&elq=96ad3c1051874545956ac30724fa0bc0&elqaid=10330&elqat=1
[6] https://knowledge.digicert.com/solution/Embargoed-Countries-and-Regions.html
[7] https://s3-us-west-1.amazonaws.com/umbrella-static/index.html
[8] https://tranco-list.eu/methodology
[9] http://s3.amazonaws.com/alexa-static/top-1m.csv.zip
[10]https://zh.wikipedia.org/wiki/2022年俄罗斯对乌克兰的网络攻击
[11]https://crt.sh/?id=6316640888
内容编辑:创新中心 黄彩云 责任编辑:王星凯
本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。
关于我们
绿盟科技研究通讯由绿盟科技创新中心负责运营,绿盟科技创新中心是绿盟科技的前沿技术研究部门。包括云安全实验室、安全大数据分析实验室和物联网安全实验室。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。
