过期的域名如何将你重定向至恶意网站?

译文
安全 应用安全
卡巴斯基称,网络犯罪分子可能利用无效的域名页面将你引到恶意站点。

【51CTO.com快译】大多数人可能试图打开过一个网站,结果发现该网站不再存在,取而代之的是一个登陆页面,表示该域已过期或准备续新。在一些情况下,页面仅含有与过期网站有关的链接。在其他情况下,页面由希望出售过期域名的拍卖网站托管。

[[333861]]

通常,这种类型的登陆页面或拍卖页面看起来是良性的,链接指向被认为是合法的其他网站。但安全提供商卡巴斯基近日发布的一份报告解释,其中一些看似良性的页面背后可能隐藏着恶意软件。

卡巴斯基的研究人员在调查一款在线游戏的应用程序后发现,该应用程序试图将他们重定向至一个不需要的、出人意外的URL,该URL在拍卖网站上挂牌出售。然而,第二阶段的重定向并未将人引到正确的存根网站,而是引到了被列入黑名单的网页。

卡巴斯基进一步分析后发现,同一拍卖服务有大约1000个待售的网站。这些网站的重定向第二阶段将用户引至2500多个不需要的URL。许多这些URL经过了设置,可以下载Shlayer特洛伊木马,这个臭名昭著的恶意软件企图在Mac计算机上安装广告软件。

图1. 待售域名的存根页面

卡巴斯基分析2019年3月到2020年2月的活动后确定,这些第二阶段重定向中89%指向了与广告有关的页面,而11%指向了恶意页面。在一些情况下,页面本身含有恶意代码。在其他情况下,系统提示用户安装恶意软件或下载受感染的微软Office文档和PDF文件。

与往常一样,获利是最终目标。人们通过将用户吸引到某些页面拿到分成,这些页面有的是合法的广告页面,有的是恶意页面(这种做法名为恶意广告)。其中一个恶意页面在短短十天内平均收到600次重定向。由于页面企图安装Shlayer特洛伊木马,恶意软件每次安装在受影响的设备上,攻击者就能拿到分成。

卡巴斯基认为,该活动背后的犯罪分子隶属一个组织严密、精心管理的网络,该网络可以将流量引到恶意网站。他们做到这一点采用的手法是,使用来自合法域名的重定向,并充分利用已知域名拍卖网站的资源。

卡巴斯基的初级恶意软件分析师Dmitry Kondratyev在新闻稿中说:“遗憾的是,用户想避免被重定向至恶意页面,基本上无能为力。重定向的域名曾是合法资源,也许是过去用户经常访问的资源。也无法知道它们现在是否将访客转移到下载恶意软件的页面。通常而言,诸如此类的恶意广告花招很复杂,很难完全发现它们,因此你最好的防御方法是在设备上有一种全面的安全解决方案。”

虽说这种特殊的攻击可能很难对付,但是你仍可以采取一些措施,竭力阻止一般的特洛伊木马感染设备。因此,卡巴斯基提供了以下技巧:

  • 仅从可信赖的来源安装程序和更新;
  • 使用具有反网络钓鱼功能的可靠的安全解决方案,防止重定向至可疑页面。

原文标题:How expired domain names can redirect you to malicious websites,

作者:Lance Whitney

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

责任编辑:赵宁宁 来源: 51CTO
相关推荐

2020-10-27 14:31:39

微软IEEdge

2023-08-07 10:17:20

AI域名ChatGPT

2020-11-18 09:29:06

NginxHTTPHTTPS

2020-01-07 08:00:52

ApacheHTTPHTTPS

2015-02-26 13:37:07

2010-12-14 15:07:15

ICMP路由重定向

2012-11-23 17:20:43

Linux服务器

2022-11-17 08:40:14

Linux输出错误重定向

2020-11-25 10:42:57

Python代码工具

2017-05-10 16:09:12

MySQL数据库查询

2022-05-11 17:21:05

Btrfs文件系统Fedora

2014-09-01 09:49:24

github

2021-08-31 08:32:40

开源项目开发

2020-12-09 11:10:12

shellLinux管道

2019-05-05 15:50:39

VSCode编辑器程序员

2023-10-23 08:29:08

2017-01-19 19:14:20

Linux重定向命令

2010-03-09 16:11:59

Linux重定向

2009-11-23 18:39:17

PHP重定向

2010-07-13 14:10:44

ICMP协议
点赞
收藏

51CTO技术栈公众号