Angler Exploit Kit 采用新技术域名阴影，成为最先进钓鱼攻击装备

臭名昭著的网络钓鱼工具包Kit近期更新了包括0day在内的多个漏洞利用工具以及一项名为“域名阴影（ ）”的新技术，彻底击溃了另一款知名恶意工具包Kit，成为了目前市场上最“先进”的网络钓鱼攻击设备。

Kit 使用的新技术被称为“域名影子”（ ，简称 ） ，被认为是网络犯罪的新突破。域名影子这一术语最早出现于 2011 年，简单来说，它的原理就是窃取用户的域名账户，创建大量子域名。

科普：什么是域名影子技术？

域名影子技术在近期的一起钓鱼事件中发挥了重要作用，黑客窃取受害者（站长）的域名账户，并创建数以万计的子域名，然后利用子域名指向恶意网站，或直接在绑定这些域名的服务器上发布恶意代码。

思科 Talos 研究团队安全研究员 Nick 对此次钓鱼事件进行了分析并表示，在过去三个月中，黑客利用 Adob​​e Flash 及漏洞为基础，通过域名影子技术实施大规模钓鱼攻击：

“域名影子攻击是一种利用窃取的合法域名账户创建大量子域名进行钓鱼攻击的技术。这种恶意攻击方法非常有效，而且难以遏制。因为你不知道黑客接下来会使用谁的账户，所以几乎没有办法知道下一个受害者是谁。”

这样得到的子域名会非常多，生命周期短，域名随机分布，黑客一般没有明显的套路，这给遏制和研究这种犯罪增加了难度。不过，稍感欣慰的是，在工具包实验生成的攻击样本中，研究人员可以很快得到结果钓鱼攻击，从而提高他们的收集和分析水平。

事件分析

在近期的钓鱼攻击事件中，黑客会不时监视上述域名，并不断生成子域名进行钓鱼攻击。

还有一项新技术叫 Fast Flux，黑客可以利用该技术更改与域名绑定的 IP 地址，以逃避黑名单和安全工具的监控。与将子域名轮换为单个域名或将一批 IP 地址轮换为子域名的域名影子技术不同，Fast Flux 技术可以在短时间内将单个域名或 DNS 记录轮换为大量 IP 地址。

受影响最严重

安全研究人员已经发现了大约1万个这样的子域名，其中大部分属于全球最大域名提供商的账户。有安全研究人员指出，这不是普通的数据泄露造成的，无论如何，它占到了互联网上域名的三分之一左右，危害还是相当大的。

攻击流程

此次钓鱼攻击分为多个步骤，每一步都使用了大量僵尸子域名，分析如下：

1. 用户在浏览网页时会看到恶意广告。 2. 恶意广告将受害者重定向到第一级子域名，这是噩梦的开始。 3. 这一级子域名会为用户提供一个带有 Adob​​e Flash 或漏洞的登录页面。 4. 受害者最终到达的页面有时会频繁更改，不太一样。 这些页面中的脚本会在短时间内运行并生效。

有时攻击者会使用同一个IP轮转绑定同一个根域下的多个子域；有时也会尝试使用同一个账号下的不同域名轮转绑定IP。当然，不同账号的子域指向同一个IP也是有可能的。从这个角度来看，地址过滤并不是解决办法，黑客可以通过定期轮转来实现监控和逃逸。目前，安全研究人员已经发现了超过75个独立IP，它们均采用这种利用恶意子域进行钓鱼攻击的方式。

Kit工具包包含了监控规避技术、0day漏洞以及各种先进技术，非常危险。之前“风靡”的Kit工具包，由于其管理团队负责人入狱，已经从市场上消失。希望大家对这些攻击手段保持警惕。

Tags：钓鱼 域名绑定 域名服务器 域名