专栏首页FreeBuf域名阴影(Domain Shadowing)技术:知名钓鱼攻击工具包Angler Exploit Kit又添杀招

域名阴影(Domain Shadowing)技术:知名钓鱼攻击工具包Angler Exploit Kit又添杀招

臭名昭著的钓鱼工具包Angler Exploit Kit最近更新了许多漏洞利用工具(含0day),以及一项名为“域名阴影(Domain Shadowing)”的新技术,将另一个知名恶意工具包BlackHole exploit kit完全击败,成为当前市面上最“先进”的钓鱼攻击装备。

Angler Exploit Kit采用的这新技术被称为“域名阴影(Domain Shadowing)”,该技术被认为是网络犯罪的新突破。域名阴影这个词在2011年首次出现,简单来说,其原理即窃取用户的域名账户去大量创建子域。

FreeBuf科普:什么是域名阴影技术?

域名阴影技术在最近一次钓鱼事件中扮演了重要的角色。黑客窃取了受害者(网站站长)的域名账户,创建了数以万计的子域名。然后利用子域名指向恶意网站,或者直接在这些域名绑定的服务器上挂恶意代码。

思科Talos研究团队的安全研究员--Nick Biasin,对这次钓鱼事件进行了分析,其表示在过去的三个月里,黑客利用Adobe Flash和Microsoft Silverlight漏洞为基础,通过域名阴影技术进行了大规模钓鱼攻击:

“域名阴影的手法,是利用失窃的正常域名账户,大量创建子域名,从而进行钓鱼攻击。这种恶意攻击手法非常有效,且难以遏止。因为你不知道黑客下一个会使用谁的账户,所以几乎没有办法去获悉下一个受害者。”

这样得来的子域会非常的多,生命周期短暂且域名随机分布,黑客一般并没有明显的套路。这让遏止这种犯罪变得愈加困难,研究也变得十分不易。然而稍微让人感到安慰的是,在该工具包实验产生的攻击样本里,研究人员能很快地得到结果,这也变相提高了他们采集分析的水平。

事件分析

在最近的那次钓鱼攻击中,黑客会不定期监测那些域名账户,源源不断地生成子域名进行网络钓鱼攻击。

还有一种新技术叫做Fast Flux,黑客利用它能改变绑定域名的IP地址,以逃避黑名单和安全工具的监测。与域名阴影技术不同的是,域名阴影技术会把子域轮流绑定给单个域名,或者将一批IP地址与子域进行轮换绑定,Fast Flux技术则能在短时间内,将单一域名或DNS记录与大量IP地址进行轮换绑定。

GoDaddy受影响最大

安全研究人员已经发现了约1万个这样的子域,其中大部分为全球目前最大的域名提供商GoDaddy的帐户。有安全研究人员却指出,这并不是普通的数据泄露所造成的。不管怎么说,GoDaddy占了网络上约三分之一的域名,危害还是相当大的。

攻击过程

这次钓鱼攻击分为多个步奏,每一步都使用了大量僵尸子域,分析如下:

1.用户在用户浏览web时展示恶意广告 2.恶意广告将受害者重定向到第一层子域,这是噩梦的开始 3.这一层的子域则会给用户提供有着Adobe Flash或者Microsoft Silverlight漏洞的登陆页 4.最后受害者到达的页面有时更替地比较频繁,不尽相同,那些页面里脚本在短时间内就运行起效

有时攻击者会利用同个IP与在同根域下的多个子域,进行轮换绑定;而有时候也会尝试使用同一账户下的不同域名与该IP进行轮替绑定。当然,也有可能不同账户的子域指向同一IP。由此看来,地址过滤不是办法,黑客完全可以定期轮换以实现监测逃逸。目前,现在安全研究人员已经发现了超过75个独立IP,它们都使用了这种利用恶意子域进行钓鱼攻击的手法。

包含了监测逃逸技术、0day漏洞、以及各类先进技术的Angler Exploit Kit工具包十分危险,而之前很受“欢迎”的BlackHole exploit kit工具包则随着其经营团队的首脑Paunch入狱在市面上销声匿迹了。希望各位小伙伴留意这些攻击方式。

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2015-03-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • DGA域名检测的数据分析与深度学习分类

    在恶意软件发展的初期,恶意软件编写者会直接将控制服务器的域名或IP直接写在恶意软件中(即使是现在也会有恶意软件遵从这种方式,笔者部署的蜜罐捕获的僵尸网络样本中,...

    FB客服
  • 子域名枚举的艺术

    写在前面的话 当我们在查找某个域名的有效子域名时,我们通常需要使用子域名枚举这项技术。但是,除非DNS服务器暴露了完整的DNS空间(涉及到AXFR协议),否则我...

    FB客服
  • 自动化沙箱打造之“关于XShell我有话说”

    最近XShell很是火了一把,每个安全厂商都在发通告,都在分析,反正就是百花齐放,在这里我想做一个总结,从前些时间的勒索软件到今天的xshell,其实我们可以看...

    FB客服
  • github pages绑定域名

    首先声明 github 上面的博客空间属于国外空间,绑定域名可以 不用备案 !完全放心,作者买了域名还没备案也是可以用的 百哥么么哒

    机器学习和大数据挖掘
  • WebMaster 123 - 从域名谈起

    很久以前(大概今年3月还是去年12月),曾经想过写一套建站教程,奈何要做的事情太多了一直没啥空。最近帮助了某一个群员建好了自己的博客,其中诸多曲折,相信新人肯定...

    惶心
  • 域名经常被微信封的原因和技术性解决办法

    而且有的域名刚刚是换个新的又被秒封,那么怎么才能防止域名被封,我这里总结了以下几点希望对您有帮助。

    用户6252721
  • 腾讯云注册域名过程 新手必看教程

    域名注册是通过付费获得域名一年或几年的使用权的过程,一般执行下面这几个简单步骤即可轻松获得属于域名:

    魏艾斯博客www.vpsss.net
  • 腾讯云的域名证书哪里下载_备案域名证书获取方法

    在腾讯云给域名备案的时候,需要提供域名证书,对于才开始学习自己建网站的朋友来说,可能会有一个问题就是:域名证书从哪里找?域名证书从哪里下载?

    奶爸建站笔记
  • 域名注册和域名NS管理的区别和联系

    注册域名之后就涉及到域名解析、域名加速、域名NS记录等等很多操作,接触的新手越多,魏艾斯博客越是觉得要普及一下域名注册和域名管理之间的联系和区别。因为很多新手对...

    魏艾斯博客www.vpsss.net
  • 域名相关知识-零基础搭建 wordpress 教程

    什么是域名?域名如何购买如何解析?选择域名应该注意哪些因素?本文是 VPS 服务器建站教程第一步-域名相关知识,专门为新手写的,把域名相关知识及魏艾斯博客对域名...

    魏艾斯博客www.vpsss.net

扫码关注云+社区

领取腾讯云代金券