2025年7月域名事件重点回顾

原创已于 2025-08-21 03:34:05 修改 · 1.5k 阅读

CC 4.0 BY-SA版权

文章标签：

于 2025-08-21 03:31:58 首次发布

WhoisXML API 分析了 2025 年 7 月 1 日至 31 日期间注册的 830 万多个域名，旨在找出最受欢迎的注册商、顶级域（TLD）扩展，以及其他全球域名注册趋势。我们还统计了 2025 年 7 月 3 日 DNS 数据库 A 记录完整文件中的 493 亿多个域名的顶级域使用情况。接着，我们研究了 2025 年 7 月期间被检测为入侵指示器（IoC）的 110 万多个域名的主要顶级域分布。最后，我们总结了分析结果，并附上了该期间基于 DNS 和域名情报来源制作的威胁报告链接。

TLD 分布

在 2025 年 7 月注册的 830 万多个域名中，80.0% 使用通用顶级域（gTLD），剩余 20.0% 使用国家代码顶级域（ccTLD）。

.com 顶级域名依然是最受欢迎的后缀，占所有新注册域名（NRD）总数的 36.4%，较 6 月的 41.8% 略有下降。其他进入前五的顶级域名与上月一样存在明显差距，其余四个均为通用顶级域（gTLD），分别是 .xyz（8.0%）、.top（5.5%）、.shop（3.3%）和 .online（2.6%）。

我们进一步分析了 7 月的新注册域名顶级域（TLD），以确定最受欢迎的通用顶级域（gTLD）和国家代码顶级域（ccTLD）。

在 594 个 gTLD 中，.com 依旧使用最多，占比 45.5%，较 6 月的 51.7% 略有下降。其余进入前五的 gTLD 份额相差甚远，四者总占比仅为 24.3%，分别为 .xyz（10.0%）、.top（6.9%）、.shop（4.1%）和 .online（3.3%）。

与此同时，在 240 个国家代码顶级域（ccTLD）中，.cn 继续排名第一，占比 11.4%，低于 6 月的 13.3%。紧随其后的是 .co，占比 10.3%；随后依次为 .uk（7.9%）、.ru（7.8%）和 .cc（6.9%）。

注册商分布

在注册商中，GoDaddy 继续占据主导地位，份额为 15.1%，高于 6 月的 11.6%。Namecheap 排名第二，占比 7.5%。其余前三名分别为 Dynadot（6.1%）、GMO Internet Group（6.0%）和 Hostinger Operations（4.7%）。

WHOIS 数据编辑

2025 年 7 月，更多新注册域名（NRD）的 WHOIS 记录被编辑，占比 53.1%；未编辑的记录仅占 46.9%。

深入观察 2025 年 7 月的 DNS 记录

A 记录域名的顶级域排行
接着，我们分析了 2025 年 7 月 3 日 DNS 数据库 A 记录完整文件中的 493 亿多个域名，这些数据包含过去 365 天的 DNS 解析结果。结果显示，45.1% 的域名使用 .com 顶级域，高于 6 月的 44.9%。前五名中，其余为两个通用顶级域（gTLD）：.net 占 9.9%，.org 占 6.8%；以及两个国家代码顶级域（ccTLD）：.de 占 3.6%，.ru 占 3.4%。

通过 DNS 视角看网络安全

2025 年 7 月 IoC 域名的顶级域排行
我们分析了 2025 年 7 月被标记为入侵指示器（IoC）的 110 万多个域名。结果显示，.com 依旧是最受欢迎的顶级域，占比 17.9%，高于 6 月的 17.7%。其余前五名均为通用顶级域（gTLD）：.org 占 15.3%，.net 占 14.5%，.biz 占 10.1%，.info 占 4.9%。

威胁报告
以下是我们在 2025 年 7 月发布的威胁报告：

深入 Funnull 基础设施的 DNS 调查：联邦调查局（FBI）发布 FLASH 报告，披露与 Funnull 相关的 IoC。这些 IoC 曾被威胁行为者用于 2023 年 10 月至 2025 年 4 月期间的加密货币投资诈骗。报告提供了两个列表的链接，WhoisXML API 对其进行了分两部分分析。
揭开 UNC5174 的 DNS 底层：从 SNOWLIGHT 到 VShell：中国支持的 UNC5174 组织使用了名为 “SNOWLIGHT” 的新开源工具及 C&C 基础设施。在同一攻击中，他们还开始使用名为 “VShell” 的另一工具。Sysdig 披露了 25 个 IoC，WhoisXML API 扩展了 IoC 列表，并发现一条疑似受害者 IP 与这些 IoC 通信，以及 287 个新工件。
Slow Pisces 对加密货币开发者攻击的 DNS 痕迹：Slow Pisces 在 2025 年的行动中盯上加密货币开发者，通过 LinkedIn 接触目标。Palo Alto Unit 42 识别出 54 个 IoC，WhoisXML API 扩展分析后发现 12 条疑似受害者 IP 与 IoC 通信，以及 1,120 个新工件。
RoundPress 行动的 DNS 调查：APT28 据报滥用 CISA 已知漏洞（KEV）目录中 2025 年 6 月 9 日新增的 CVE-2025-324332 和 CVE-2024-420093，攻击政府 Webmail 服务器。WhoisXML API 扩展了 ESET 识别的 19 个 IoC，并发现 8,906 个新工件。
最新 BlueNoroff 攻击的 DNS 调查：此次攻击使用了威胁行为者控制的假 Zoom 域名。访问链接的用户下载了带有键盘记录器的恶意 AppleScript。Huntress 识别了 7 个域名作为 IoC，WhoisXML API 发现其中 3 个 IoC 在注册时被认为可能变为恶意，同时发现 21,652 个新工件。
最新 Educated Manticore 攻击的 DNS 调查：伊朗威胁组织 Educated Manticore 发起鱼叉式钓鱼攻击，目标为以色列记者、高级网络安全专家及领先以色列大学的计算机科学教授。Check Point Research 识别出 141 个 IoC，WhoisXML API 进行了分析。我们发现 1,753 条疑似受害者 IP 与这些域名 IoC 通信，另有 1 条受害者 IP 与 IP IoC 通信。同时，72 个域名 IoC 在注册时被认为可能变为恶意，另外发现 1,854 个新工件。