臭名昭著的釣魚工具包Angler Exploit Kit最近更新了許多漏洞利用工具(含0day)��,以及一項(xiàng)名為“域名陰影(Domain Shadowing)”的新技術(shù)��,將另一個(gè)知名惡意工具包BlackHole exploit kit完全擊敗��,成為當(dāng)前市面上最“先進(jìn)”的釣魚攻擊裝備��。
Angler Exploit Kit采用的這新技術(shù)被稱為“域名陰影(Domain Shadowing)”��,該技術(shù)被認(rèn)為是網(wǎng)絡(luò)犯罪的新突破��。域名陰影這個(gè)詞在2011年首次出現(xiàn)��,簡單來說��,其原理即竊取用戶的域名賬戶去大量創(chuàng)建子域��。
FreeBuf科普:什么是域名陰影技術(shù)��?
域名陰影技術(shù)在最近一次釣魚事件中扮演了重要的角色��。黑客竊取了受害者(網(wǎng)站站長)的域名賬戶��,創(chuàng)建了數(shù)以萬計(jì)的子域名��。然后利用子域名指向惡意網(wǎng)站��,或者直接在這些域名綁定的服務(wù)器上掛惡意代碼��。
思科Talos研究團(tuán)隊(duì)的安全研究員–Nick Biasin��,對這次釣魚事件進(jìn)行了分析��,其表示在過去的三個(gè)月里��,黑客利用Adobe Flash和Microsoft Silverlight漏洞為基礎(chǔ)��,通過域名陰影技術(shù)進(jìn)行了大規(guī)模釣魚攻擊:
“域名陰影的手法��,是利用失竊的正常域名賬戶��,大量創(chuàng)建子域名��,從而進(jìn)行釣魚攻擊��。這種惡意攻擊手法非常有效��,且難以遏止��。因?yàn)槟悴恢篮诳拖乱粋(gè)會(huì)使用誰的賬戶��,所以幾乎沒有辦法去獲悉下一個(gè)受害者����!
這樣得來的子域會(huì)非常的多��,生命周期短暫且域名隨機(jī)分布��,黑客一般并沒有明顯的套路��。這讓遏止這種犯罪變得愈加困難��,研究也變得十分不易��。然而稍微讓人感到安慰的是��,在該工具包實(shí)驗(yàn)產(chǎn)生的攻擊樣本里��,研究人員能很快地得到結(jié)果��,這也變相提高了他們采集分析的水平。
事件分析
在最近的那次釣魚攻擊中��,黑客會(huì)不定期監(jiān)測那些域名賬戶��,源源不斷地生成子域名進(jìn)行網(wǎng)絡(luò)釣魚攻擊��。
還有一種新技術(shù)叫做Fast Flux��,黑客利用它能改變綁定域名的IP地址��,以逃避黑名單和安全工具的監(jiān)測��。與域名陰影技術(shù)不同的是��,域名陰影技術(shù)會(huì)把子域輪流綁定給單個(gè)域名��,或者將一批IP地址與子域進(jìn)行輪換綁定��,F(xiàn)ast Flux技術(shù)則能在短時(shí)間內(nèi)��,將單一域名或DNS記錄與大量IP地址進(jìn)行輪換綁定��。
