2025年3月域名事件重点回顾

Domain Activity Highlights

2025年3月

域名事件重点回顾

March, 2025

WhoisXML API分析师选取了2025年3月1日至31日期间注册的820多万个域名作为样本进行分析，确定最受欢迎的注册商、顶级域的扩展情况以及研究这些域名的发展趋势等。随后，我们对同期发布截止到3月6日的DNS数据库中A记录的全部完整文件592亿个域名进行了顶级域扩展名分析。同时，对3月份的排名领先的顶级域进行分析得到了110万个妥协指标（IoCs）。最后，我们使用同期DNS、IP和域名情报来源数据为威胁报告提供相关总结发现以及关联性链接。

威胁报告中关于DNS、IP和域名情报信息的总结分析情况如下。

Zooming in on the March 2025 NRDs

3月新注册域名详情

顶级域分布情况

2025年3月注册的820万域名中，通用顶级域（gTLD）占新注册域名总数的78.1%，国家代码顶级域（ccTLD）则占比21.9%。

在3月份所有的新注册域名中，.com 顶级域仍然是最常用的后缀，占新注册域名（NRD）总数的 38.9%，与2月份38.4%相比，有少许升高。与前几个月情况类似，排名前五的其他顶级域与第一名比例差距明显，其他四个通用顶级域分别为.xyz（占比4.9%），.top（占比4.1%），.shop（占比2.7%）和.org（占比2.6%）。

随后，我们对3月份顶级域进行了深入分析，确定了新注册域名中最常用的依旧是通用顶级域和国家代码顶级域。

在617个通用顶级域中，.com使用最为频繁，占所有通用顶级域的新注册域名总数的49.9%，与2月份51.2%的数量相比有所降低。剩余排名前5的顶级域与.com仍相差甚远，四个顶级域一共占比18.2%，.xyz以6.3%的份额位列第二，.top占比5.2%，.shop占比3.4%以及.org占比3.3%。

同时，与2月份的数据相比，250个国家顶级域名中.ph已经跌出了前五名，.de以8.5%的份额排名第一，.cn紧随其后，占比为8.4%，剩余排名领先的国家顶级域还包括.ru 占比 8.1%，.uk 占比 7.3%，以及.us 占比 4.5%。

注册商分布

GoDaddy 持续在域名注册商中保持领先地位，市场份额从 2 月的 14.9% 略微下降到 14.5%。Namecheap 位居第二，市场份额为 10.7%。其他排名领先的注册商包括 Dynadot，市场占比为5.7%，NameSilo，占比 4.7%，以及GMO 互联网集团，占比3.2%。

WHOIS数据编辑

3月份的新注册域名中大多数域名都启用了WHOIS 数据编辑，占注册域名总量的61%，与2月份59.3%的数据相比略微上升。另一方面，只有39% 的新注册域名公开了其 WHOIS 记录。

A Closer Look at the March 2025 DNS Records

3月份DNS记录深度剖析

A记录域名中排名领先的顶级域

我们分析了截止到2025 年 3月6日 DNS 数据库中超过 592 亿个域名的 A 记录完整文件，其中包含过去 365 天的 DNS 解析结果。我们发现 43.3% 的域名使用了 .com 顶级域名（TLD），较 2月份的 43.2% 略有升高。排名前五的其他域名包括两个通用顶级域名（gTLD），即 .net，占比 10.1%，.org，占比 6.6%，以及两个国家/地区代码顶级域名（ccTLD），即 .ru和.de，分别占比 3.6%。

Cybersecurity through the DNS Lens

从DNS角度透视本月网络安全问题

· 2025年3月域名妥协指标中的排名领先的TLD

同样，我们分析了 3月份被标记为妥协指标IoC的 110 多万个域名，这些域名涉及各种已被监测到的威胁。分析结果显示，.com 仍然是最受欢迎的顶级域（TLD），占比 16.8%。其余排名前列的顶级域也均为通用顶级域（gTLD），分别是 .org（15.2%）、.net（14.5%）、.biz（10.1%）和 .bazar（7.0%）。

· 威胁报告

以下是我们2025年3月份所发布的相关威胁报告。

深入分析Sneaky 2FA内部DNS机制：揭秘中间人攻击背后的PhaaS服务
一种名为“Sneaky 2FA”的钓鱼即服务（PhaaS）平台，近日被发现用于针对Microsoft 365用户的中间人（AiTM）攻击。我们以61个妥协指标为调查起点，进一步挖掘出890多个可能相关的恶意DNS资源，全面揭示了其背后的攻击链条。

利用DNS操控搜索排名：BadIIS的黑帽SEO行动
一项被命名为“BadIIS”的搜索引擎优化（SEO）操控行动，主要攻击对象为微软IIS服务器用户。报告披露了51个妥协指标，我们在此基础上展开深度分析，发现高达2,280个潜在相关的恶意DNS资源，揭示了攻击者如何通过伪造内容提升搜索排名。
恶意广告锁定广告主：DNS揭示新的信息窃取攻势
研究人员追踪到97个与针对微软广告用户的新型攻击相关的恶意域名。这些攻击者利用谷歌广告平台投放恶意广告，诱导用户泄露账户信息。通过进一步分析，我们识别出1,120多个相关的可疑DNS资源，进一步揭示了广告投放平台的潜在攻击面。
点燃DNS线索，揭开“SparkCat”恶意SDK的真面目
近期调查发现多个安卓与iOS应用中嵌入了一个名为“SparkCat”的恶意的软件开发工具（SDK）。原始情报披露了5个妥协指标IoC，我们基于此深入分析，挖掘出超过790个相关的DNS资源，显示该SDK在范围内的传播路径与基础设施布局。
深潜DNS，锁定2025年潜力最大的新兴勒索团伙
报告指出，2024年十大活跃的勒索软件家族很可能在2025年继续扩张。包括RansomHub、LockBit 3.0、Play、Akira、Hunters、Medusa、BlackBasta、Qilin、BianLian以及INC. Ransom（又名Lynx）。我们成功扩展其IoC列表，识别出多达2,380个新增恶意DNS 资源，为防范未来勒索攻击奠定情报基础。
您可点击此链接查找更多报告内容。
https://main.whoisxmlapi.com/wxa-research-center/threat-reports