设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

域名阴影(Domain Shadowing)技术:知名钓鱼攻击工具包Angler Exploit Kit又添杀招 ...

2015-3-6 11:18| 发布者: 随便、先森。| 查看: 1289| 评论: 0|来自: freebuf

摘要: 臭名昭著的钓鱼工具包Angler Exploit Kit最近更新了许多漏洞利用工具(含0day),以及一项名为“域名阴影(Domain Shadowing)”的新技术,将另一个知名恶意工具包BlackHole exploit kit完全击败,成为当前市面上最 ...

臭名昭著的钓鱼工具包Angler Exploit Kit最近更新了许多漏洞利用工具(含0day),以及一项名为“域名阴影(Domain Shadowing)”的新技术,将另一个知名恶意工具包BlackHole exploit kit完全击败,成为当前市面上最“先进”的钓鱼攻击装备。

Angler Exploit Kit采用的这新技术被称为“域名阴影(Domain Shadowing)”,该技术被认为是网络犯罪的新突破。域名阴影这个词在2011年首次出现,简单来说,其原理即窃取用户的域名账户去大量创建子域。

FreeBuf科普:什么是域名阴影技术?

域名阴影技术在最近一次钓鱼事件中扮演了重要的角色。黑客窃取了受害者(网站站长)的域名账户,创建了数以万计的子域名。然后利用子域名指向恶意网站,或者直接在这些域名绑定的服务器上挂恶意代码。

思科Talos研究团队的安全研究员–Nick Biasin,对这次钓鱼事件进行了分析,其表示在过去的三个月里,黑客利用Adobe Flash和Microsoft Silverlight漏洞为基础,通过域名阴影技术进行了大规模钓鱼攻击:

“域名阴影的手法,是利用失窃的正常域名账户,大量创建子域名,从而进行钓鱼攻击。这种恶意攻击手法非常有效,且难以遏止。因为你不知道黑客下一个会使用谁的账户,所以几乎没有办法去获悉下一个受害者。”

这样得来的子域会非常的多,生命周期短暂且域名随机分布,黑客一般并没有明显的套路。这让遏止这种犯罪变得愈加困难,研究也变得十分不易。然而稍微让人感到安慰的是,在该工具包实验产生的攻击样本里,研究人员能很快地得到结果,这也变相提高了他们采集分析的水平。

事件分析

在最近的那次钓鱼攻击中,黑客会不定期监测那些域名账户,源源不断地生成子域名进行网络钓鱼攻击。

还有一种新技术叫做Fast Flux,黑客利用它能改变绑定域名的IP地址,以逃避黑名单和安全工具的监测。与域名阴影技术不同的是,域名阴影技术会把子域轮流绑定给单个域名,或者将一批IP地址与子域进行轮换绑定,Fast Flux技术则能在短时间内,将单一域名或DNS记录与大量IP地址进行轮换绑定。

GoDaddy受影响最大

安全研究人员已经发现了约1万个这样的子域,其中大部分为全球目前最大的域名提供商GoDaddy的帐户。有安全研究人员却指出,这并不是普通的数据泄露所造成的。不管怎么说,GoDaddy占了网络上约三分之一的域名,危害还是相当大的。

攻击过程

这次钓鱼攻击分为多个步奏,每一步都使用了大量僵尸子域,分析如下:

1.用户在用户浏览web时展示恶意广告
2.恶意广告将受害者重定向到第一层子域,这是噩梦的开始
3.这一层的子域则会给用户提供有着Adobe Flash或者Microsoft Silverlight漏洞的登陆页
4.最后受害者到达的页面有时更替地比较频繁,不尽相同,那些页面里脚本在短时间内就运行起效

有时攻击者会利用同个IP与在同根域下的多个子域,进行轮换绑定;而有时候也会尝试使用同一账户下的不同域名与该IP进行轮替绑定。当然,也有可能不同账户的子域指向同一IP。由此看来,地址过滤不是办法,黑客完全可以定期轮换以实现监测逃逸。目前,现在安全研究人员已经发现了超过75个独立IP,它们都使用了这种利用恶意子域进行钓鱼攻击的手法。

包含了监测逃逸技术、0day漏洞、以及各类先进技术的Angler Exploit Kit工具包十分危险,而之前很受“欢迎”的BlackHole exploit kit工具包则随着其经营团队的首脑Paunch入狱在市面上销声匿迹了。希望各位小伙伴留意这些攻击方式。

 参考来源thehackernews


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
DDOS:NTP、SSDP、DNS、SNMP、RIP 放大反射攻击、扫描脚本
DDOS:NTP、SSDP、D
NTP、SSDP、DNS、SNMP、RIP 放大反射攻击扫描脚本 不懂的 请自行谷歌 声明:本文转
返回顶部