域名阴影(Domain Shadowing)技术:知名钓鱼攻击工具包Angler Exploit Kit又添杀招

臭名昭著的钓鱼工具包Angler Exploit Kit最近更新了许多漏洞利用工具(含0day),以及一项名为“域名阴影(Domain Shadowing)”的新技术,将另一个知名恶意工具包BlackHole exploit kit完全击败,成为当前市面上最“先进”的钓鱼攻击装备。

Angler Exploit Kit采用的这新技术被称为“域名阴影(Domain Shadowing)”,该技术被认为是网络犯罪的新突破。域名阴影这个词在2011年首次出现,简单来说,其原理即窃取用户的域名账户去大量创建子域。

FreeBuf科普:什么是域名阴影技术?

域名阴影技术在最近一次钓鱼事件中扮演了重要的角色。黑客窃取了受害者(网站站长)的域名账户,创建了数以万计的子域名。然后利用子域名指向恶意网站,或者直接在这些域名绑定的服务器上挂恶意代码。

思科Talos研究团队的安全研究员--Nick Biasin,对这次钓鱼事件进行了分析,其表示在过去的三个月里,黑客利用Adobe Flash和Microsoft Silverlight漏洞为基础,通过域名阴影技术进行了大规模钓鱼攻击:

“域名阴影的手法,是利用失窃的正常域名账户,大量创建子域名,从而进行钓鱼攻击。这种恶意攻击手法非常有效,且难以遏止。因为你不知道黑客下一个会使用谁的账户,所以几乎没有办法去获悉下一个受害者。”

这样得来的子域会非常的多,生命周期短暂且域名随机分布,黑客一般并没有明显的套路。这让遏止这种犯罪变得愈加困难,研究也变得十分不易。然而稍微让人感到安慰的是,在该工具包实验产生的攻击样本里,研究人员能很快地得到结果,这也变相提高了他们采集分析的水平。

事件分析

在最近的那次钓鱼攻击中,黑客会不定期监测那些域名账户,源源不断地生成子域名进行网络钓鱼攻击。

还有一种新技术叫做Fast Flux,黑客利用它能改变绑定域名的IP地址,以逃避黑名单和安全工具的监测。与域名阴影技术不同的是,域名阴影技术会把子域轮流绑定给单个域名,或者将一批IP地址与子域进行轮换绑定,Fast Flux技术则能在短时间内,将单一域名或DNS记录与大量IP地址进行轮换绑定。

GoDaddy受影响最大

安全研究人员已经发现了约1万个这样的子域,其中大部分为全球目前最大的域名提供商GoDaddy的帐户。有安全研究人员却指出,这并不是普通的数据泄露所造成的。不管怎么说,GoDaddy占了网络上约三分之一的域名,危害还是相当大的。

攻击过程

这次钓鱼攻击分为多个步奏,每一步都使用了大量僵尸子域,分析如下:

1.用户在用户浏览web时展示恶意广告 2.恶意广告将受害者重定向到第一层子域,这是噩梦的开始 3.这一层的子域则会给用户提供有着Adobe Flash或者Microsoft Silverlight漏洞的登陆页 4.最后受害者到达的页面有时更替地比较频繁,不尽相同,那些页面里脚本在短时间内就运行起效

有时攻击者会利用同个IP与在同根域下的多个子域,进行轮换绑定;而有时候也会尝试使用同一账户下的不同域名与该IP进行轮替绑定。当然,也有可能不同账户的子域指向同一IP。由此看来,地址过滤不是办法,黑客完全可以定期轮换以实现监测逃逸。目前,现在安全研究人员已经发现了超过75个独立IP,它们都使用了这种利用恶意子域进行钓鱼攻击的手法。

包含了监测逃逸技术、0day漏洞、以及各类先进技术的Angler Exploit Kit工具包十分危险,而之前很受“欢迎”的BlackHole exploit kit工具包则随着其经营团队的首脑Paunch入狱在市面上销声匿迹了。希望各位小伙伴留意这些攻击方式。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2015-03-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏CSDN技术头条

Uber 四年时间增长近 40 倍,背后架构揭秘

据报道,Uber 仅在过去4年的时间里,业务就激增了 38 倍。Uber 首席系统架构师 Matt Ranney 在一个非常有趣和详细的访谈《可扩展的 Uber...

28470
来自专栏ThoughtWorks

浅谈微服务架构中的鉴权体系 | 洞见

在微服务架构中,有一个核心的问题是处理好“集权”(中心化)和“放权”(去中心化)的关系。虽然微服务的主旋律是把数据和业务拆成小而独立的模块,但我们仍然需要一个强...

37060
来自专栏FreeBuf

补卡的糟糕经历引发的思考:一点黑客技术让我们不再泄露那么多数据

概述: 笔者因为孩子生病n次去医院输液,终于在最后一次打吊针的时候被人偷走了手机(医院果然是作案高发区),于是有了我补办手机卡的经历。一张电信手机卡在电信营业厅...

26590
来自专栏带你撸出一手好代码

小bug,大智慧

程序员和BUG之间的关系很奇妙, 相互都不喜欢对方, 又离不开对方, 是一对相爱相杀相互纠缠永远无法摆脱对方的对手。 每一个BUG都是程序员无意创造出来的,程序...

29940
来自专栏FreeBuf

Cloak ; Dagger攻击:一种可针对所有版本Android的攻击技术(含演示视频)

近期,来自美国佐治亚理工学院的安全研究专家发现了一种名叫“Cloak and Dagger”的新型攻击,而可怕的地方就在于,这种攻击技术可以拿下目前所有版本的A...

25250
来自专栏我是攻城师

携程全线瘫痪,传言代码被恶意删除

38050
来自专栏IT大咖说

中国首位IoT领域的GDE:Android Things全解析及展望

23620
来自专栏钱塘大数据

【干货】一篇文章读懂物联网具体架构,推荐收藏!

导读:本文将为你分析物联网的架构方法,全文分为两部分,第一部分从一个抽象的角度了解IoT的参考架构,将涵盖更具体与完整的架构中的各种定义,而第二篇文章将通过实际...

50760
来自专栏梁源的专栏

iOS10凌晨1点发布,小源带你一起升级体验过程

11630
来自专栏Java面试通关手册

Github上发布一天Star数破4K的项目了解一下

随着时间的推移,我们大家最熟悉的Windows操作系统不断发展。现在Windows已经发展到了Windows10版本。可能大家和我一样,真正使用Windows操...

14330

扫码关注云+社区

领取腾讯云代金券