臭名昭著的钓鱼工具包Angler Exploit Kit最近更新了许多漏洞利用工具(含0day),以及一项名为“域名阴影(Domain Shadowing)”的新技术,将另一个知名恶意工具包BlackHole exploit kit完全击败,成为当前市面上最“先进”的钓鱼攻击装备。
Angler Exploit Kit采用的这新技术被称为“域名阴影(Domain Shadowing)”,该技术被认为是网络犯罪的新突破。域名阴影这个词在2011年首次出现,简单来说,其原理即窃取用户的域名账户去大量创建子域。
科普:什么是域名阴影技术?
域名阴影技术在最近一次钓鱼事件中扮演了重要的角色。黑客窃取了受害者(网站站长)的域名账户,创建了数以万计的子域名。然后利用子域名指向恶意网站,或者直接在这些域名绑定的服务器上挂恶意代码。
思科Talos研究团队的安全研究员–Nick Biasin,对这次钓鱼事件进行了分析,其表示在过去的三个月里,黑客利用Adobe Flash和Microsoft Silverlight漏洞为基础,通过域名阴影技术进行了大规模钓鱼攻击:
“域名阴影的手法,是利用失窃的正常域名账户,大量创建子域名,从而进行钓鱼攻击。这种恶意攻击手法非常有效,且难以遏止。因为你不知道黑客下一个会使用谁的账户,所以几乎没有办法去获悉下一个受害者。”
这样得来的子域会非常的多,生命周期短暂且域名随机分布,黑客一般并没有明显的套路。这让遏止这种犯罪变得愈加困难,研究也变得十分不易。然而稍微让人感到安慰的是,在该工具包实验产生的攻击样本里,研究人员能很快地得到结果,这也变相提高了他们采集分析的水平。
事件分析
在最近的那次钓鱼攻击中,黑客会不定期监测那些域名账户,源源不断地生成子域名进行网络钓鱼攻击。
还有一种新技术叫做Fast Flux,黑客利用它能改变绑定域名的IP地址,以逃避黑名单和安全工具的监测。与域名阴影技术不同的是,域名阴影技术会把子域轮流绑定给单个域名,或者将一批IP地址与子域进行轮换绑定,Fast Flux技术则能在短时间内,将单一域名或DNS记录与大量IP地址进行轮换绑定。
GoDaddy受影响最大
安全研究人员已经发现了约1万个这样的子域,其中大部分为全球目前最大的域名提供商GoDaddy的帐户。有安全研究人员却指出,这并不是普通的数据泄露所造成的。不管怎么说,GoDaddy占了网络上约三分之一的域名,危害还是相当大的。
攻击过程
这次钓鱼攻击分为多个步奏,每一步都使用了大量僵尸子域,分析如下:
1.用户在用户浏览web时展示恶意广告
2.恶意广告将受害者重定向到第一层子域,这是噩梦的开始
3.这一层的子域则会给用户提供有着Adobe Flash或者Microsoft Silverlight漏洞的登陆页
4.最后受害者到达的页面有时更替地比较频繁,不尽相同,那些页面里脚本在短时间内就运行起效
有时攻击者会利用同个IP与在同根域下的多个子域,进行轮换绑定;而有时候也会尝试使用同一账户下的不同域名与该IP进行轮替绑定。当然,也有可能不同账户的子域指向同一IP。由此看来,地址过滤不是办法,黑客完全可以定期轮换以实现监测逃逸。目前,现在安全研究人员已经发现了超过75个独立IP,它们都使用了这种利用恶意子域进行钓鱼攻击的手法。
包含了监测逃逸技术、0day漏洞、以及各类先进技术的Angler Exploit Kit工具包十分危险,而之前很受“欢迎”的BlackHole exploit kit工具包则随着其经营团队的首脑Paunch入狱在市面上销声匿迹了。希望各位小伙伴留意这些攻击方式。