Angler Exploit Kit 采用新技術域名陰影，成為最先進釣魚攻擊裝備

臭名昭著的網絡釣魚工具包Kit近期更新了包括0day在內的多個漏洞利用工具以及一項名為“域名陰影（ ）”的新技術，徹底擊潰了另一款知名惡意工具包Kit，成為了目前市場上最“先進”的網絡釣魚攻擊設備。

Kit 使用的新技術被稱為“域名影子”（ ，簡稱 ） ，被認為是網絡犯罪的新突破。域名影子這一術語最早出現于 2011 年，簡單來說，它的原理就是竊取用戶的域名賬戶，創建大量子域名。

科普：什么是域名影子技術？

域名影子技術在近期的一起釣魚事件中發揮了重要作用，黑客竊取受害者（站長）的域名賬戶，并創建數以萬計的子域名，然后利用子域名指向惡意網站，或直接在綁定這些域名的服務器上發布惡意代碼。

思科 Talos 研究團隊安全研究員 Nick 對此次釣魚事件進行了分析并表示，在過去三個月中，黑客利用 Adob??e Flash 及漏洞為基礎，通過域名影子技術實施大規模釣魚攻擊：

“域名影子攻擊是一種利用竊取的合法域名賬戶創建大量子域名進行釣魚攻擊的技術。這種惡意攻擊方法非常有效，而且難以遏制。因為你不知道黑客接下來會使用誰的賬戶，所以幾乎沒有辦法知道下一個受害者是誰。”

這樣得到的子域名會非常多，生命周期短，域名隨機分布，黑客一般沒有明顯的套路，這給遏制和研究這種犯罪增加了難度。不過，稍感欣慰的是，在工具包實驗生成的攻擊樣本中，研究人員可以很快得到結果釣魚攻擊，從而提高他們的收集和分析水平。

事件分析

在近期的釣魚攻擊事件中，黑客會不時監視上述域名，并不斷生成子域名進行釣魚攻擊。

還有一項新技術叫 Fast Flux，黑客可以利用該技術更改與域名綁定的 IP 地址，以逃避黑名單和安全工具的監控。與將子域名輪換為單個域名或將一批 IP 地址輪換為子域名的域名影子技術不同，Fast Flux 技術可以在短時間內將單個域名或 DNS 記錄輪換為大量 IP 地址。

受影響最嚴重

安全研究人員已經發現了大約1萬個這樣的子域名，其中大部分屬于全球最大域名提供商的賬戶。有安全研究人員指出，這不是普通的數據泄露造成的，無論如何，它占到了互聯網上域名的三分之一左右，危害還是相當大的。

攻擊流程

此次釣魚攻擊分為多個步驟，每一步都使用了大量僵尸子域名，分析如下：

1. 用戶在瀏覽網頁時會看到惡意廣告。 2. 惡意廣告將受害者重定向到第一級子域名，這是噩夢的開始。 3. 這一級子域名會為用戶提供一個帶有 Adob??e Flash 或漏洞的登錄頁面。 4. 受害者最終到達的頁面有時會頻繁更改，不太一樣。 這些頁面中的腳本會在短時間內運行并生效。

有時攻擊者會使用同一個IP輪轉綁定同一個根域下的多個子域；有時也會嘗試使用同一個賬號下的不同域名輪轉綁定IP。當然，不同賬號的子域指向同一個IP也是有可能的。從這個角度來看，地址過濾并不是解決辦法，黑客可以通過定期輪轉來實現監控和逃逸。目前，安全研究人員已經發現了超過75個獨立IP，它們均采用這種利用惡意子域進行釣魚攻擊的方式。

Kit工具包包含了監控規避技術、0day漏洞以及各種先進技術，非常危險。之前“風靡”的Kit工具包，由于其管理團隊負責人入獄，已經從市場上消失。希望大家對這些攻擊手段保持警惕。

Tags：釣魚 域名綁定 域名服務器 域名