根據(jù)最近的一項(xiàng)調(diào)查顯示，曾被犯罪分子用于支持RIG漏洞利用套件的成千上萬(wàn)個(gè)非法子域名(通過(guò)網(wǎng)絡(luò)釣魚攻擊所獲取的受害者憑證進(jìn)行注冊(cè))日前已經(jīng)被大范圍關(guān)停。

其中大多數(shù)子域名皆使用GoDaddy作為主域名注冊(cè)商。GoDaddy與RSA Security以及其它數(shù)家安全廠商乃至獨(dú)立研究人員共同合作，已于今年5月憑借這些惡意登陸頁(yè)面所使用的大量IP地址將相關(guān)子域名進(jìn)行了關(guān)停。這種利用失竊憑證創(chuàng)建子域名的作法被稱為域名陰影(domain shadowing)。

E安全百科：什么是域名陰影技術(shù)?

域名陰影的手法，是利用失竊的正常域名賬戶，大量創(chuàng)建子域名，然后利用子域名指向惡意網(wǎng)站，或者直接在這些域名綁定的服務(wù)器上掛惡意代碼，這種惡意攻擊手法非常有效。你不知道黑客下一個(gè)會(huì)使用誰(shuí)的賬戶，幾乎沒(méi)有辦法去獲悉下一個(gè)受害者，并且通過(guò)這種方式得來(lái)的子域名會(huì)非常的多，生命周期短暫且域名隨機(jī)分布，黑客一般沒(méi)有明顯的套路。因此遏止這種犯罪變得十分困難。

然而稍微讓人感到安慰的是，在該工具包實(shí)驗(yàn)產(chǎn)生的攻擊樣本里，研究人員能很快地得到結(jié)果，這也變相提高了他們采集分析的水平。

根據(jù)RSA Security方面的說(shuō)法，目前尚不清楚本輪對(duì)RIG漏洞利用套件相關(guān)子域名的清理工作能夠在多大程度和規(guī)模上減輕惡意廣告與垃圾郵件活動(dòng)。自2016年以來(lái)，RIG已經(jīng)憑借著各使用方對(duì)Angler乃至其他多家企業(yè)的大規(guī)模攻擊而成為當(dāng)時(shí)最為流行的漏洞利用套件之一。

RIG的運(yùn)作方式

RSA Security方面還發(fā)布了一份說(shuō)明RIG的具體運(yùn)作方式的報(bào)告。RSA FirstWatch全球研究團(tuán)隊(duì)主管阿歷克斯·考克斯(Alex Cox)解釋稱，犯罪分子很可能利用惡意軟件竊取到的信息作為GoDaddy的注冊(cè)憑證，進(jìn)而借助由此獲取的子域名實(shí)施網(wǎng)絡(luò)釣魚活動(dòng)。

事實(shí)上，攻擊者完全可以在入侵當(dāng)中添加新的子域名，用于將受害者重新定向至其它托管有漏洞利用套件的IP地址，這部分地址大部分集中在東歐地區(qū)。

考克斯指出，此次對(duì)RIG惡意套件的調(diào)查結(jié)果顯示，攻擊者主要采取向目標(biāo)設(shè)備發(fā)送URL的入侵方式。RSA研究人員們得以將各域名映射至具體注冊(cè)商，最終發(fā)現(xiàn)其中大部分注冊(cè)源為RSA合作伙伴GoDaddy公司。此次與RIG惡意活動(dòng)相關(guān)的網(wǎng)絡(luò)子域名達(dá)四萬(wàn)個(gè)，IP地址則達(dá)到兩千條。今年2月到3月期間已經(jīng)共出現(xiàn)了四輪此類惡意活動(dòng)，其中兩輪采用了域名陰影手法，并利用有效載荷傳播了Cerber勒索軟件與Dreambot銀行惡意軟件。

RSA方面指出，GoDaddy已經(jīng)成功在今年3月全部關(guān)停了四萬(wàn)個(gè)域名，而研究人員們亦幫助其構(gòu)建起部分自動(dòng)化功能，旨在幫助監(jiān)控并檢測(cè)任何類似的域名陰影活動(dòng)。

考克斯表示，這是一種協(xié)調(diào)式網(wǎng)絡(luò)釣魚活動(dòng)，攻擊者利用釣魚行為獲取的信息充當(dāng)GoDaddy的注冊(cè)憑證。目前其它域名注冊(cè)商也可能面臨類似的挑戰(zhàn)。攻擊者們采取了相當(dāng)巧妙的域名隱藏技巧，因?yàn)樗麄兒芮宄坏┯腥俗?cè)了一條域名，其通常不會(huì)重新審視其原始DNS設(shè)置以及其它配置信息。很明顯，攻擊者們用到了自動(dòng)化調(diào)整機(jī)制，因?yàn)槊刻於紩?huì)看到數(shù)以百計(jì)的變化。

陰影域名的平均保存時(shí)間為24小時(shí)，而各相關(guān)DNS記錄將在新的陰影域名創(chuàng)建完成前被全部清理。同時(shí)，該技術(shù)亦能夠順利繞過(guò)內(nèi)容過(guò)濾機(jī)制的堵截。舉個(gè)例子：

“在現(xiàn)代企業(yè)當(dāng)中，如果我運(yùn)行g(shù)ood.com網(wǎng)站且內(nèi)容過(guò)濾代理認(rèn)為一切正常，則如果有人在其下掛載起一個(gè)惡意子域，那么內(nèi)容過(guò)濾機(jī)制將無(wú)法發(fā)現(xiàn)任何問(wèn)題。”

考克斯稱，犯罪分子非常擅長(zhǎng)追蹤安全技術(shù)的運(yùn)作方式，他們相當(dāng)熟悉我們對(duì)網(wǎng)絡(luò)的保護(hù)方法，并利用各種創(chuàng)造性手段回避我們的保護(hù)機(jī)制。