钓鱼者攻击套件使用域阴影技术来逃避检测
相关标签: # 研究# 监控# 账户# 黑客# 工具
钓鱼者利用工具包的最新技术被称为“域跟踪”,这被认为是网络犯罪的下一个发展方向。域名隐藏最早出现于2011年,是指使用用户的域名注册登录来创建子域的过程。
什么是域跟踪?
借助于域阴影在最近的钓鱼者活动中使用的技术,攻击者正在窃取域注册人凭据,以创建成千上万的子域,这些子域用于打了就跑的攻击,以便将受害者重定向到攻击站点,或为他们提供恶意有效载荷。
思科Talos intelligence团队的安全研究员尼克·比亚西尼(Nick Biasini)分析了此次活动,并表示,针对Adobe Flash和微软Silverlight漏洞的“大规模”且持续的钓鱼者活动在过去三个月里急剧增加。
"使用受损注册人凭据进行域跟踪是迄今为止威胁参与者使用的最有效、最难阻止的技术。这些账户基本上是随机的,因此无法追踪下一步将使用哪些域,“尼克·比亚西尼说。
"此外,子域的容量非常大,寿命很短,而且是随机的,没有明显的模式。这使得拦截变得越来越困难。最后,它也阻碍了研究。从活动时间不到一小时的漏洞工具包登录页获取活动样本变得越来越困难。这有助于增加威胁参与者的攻击窗口,因为研究人员必须加大收集和分析样本的力度。"
黑客是怎么做到的?
在最近的行动中,网络犯罪分子利用了一个事实,即大多数域名所有者没有定期监控他们的域名注册人帐户,而这些帐户通常会通过网络钓鱼攻击而受损。这会利用攻击者创建看似无穷无尽的子域,用于进一步的攻击。
一种叫做快速流动允许黑客更改与域关联的IP地址,以逃避检测和黑名单技术。与旋转与单个域或一小组IP地址相关联的子域的域阴影不同,Fast Flux将单个域或DNS条目快速旋转到一个大的IP地址列表。
戈达迪面临风险的账户
思科在账户上发现了多达10000个恶意子域—;他们中的大多数人都与GoDaddy的客户有关,尽管安全研究人员指出这不是任何数据泄露的结果,但这是因为GoDaddy控制着互联网上三分之一的域名。
攻击向量
攻击有多个层次,下面列出了针对不同阶段创建的不同恶意子域:
- 用户会在web浏览器上收到恶意广告。
- 恶意广告会将用户重定向到称为“门”的第一层子域。
- 第一层负责将受害者重定向到一个登录页,该登录页承载了提供Adobe Flash或Microsoft Silverlight漏洞攻击的钓鱼者漏洞攻击工具包。
- 这最后一页被大量旋转,有时,这些页面仅在几分钟内处于活动状态。
"同一IP在单个域的多个子域和来自单个域帐户的多个域之间使用“我写道。”还有多个帐户的子域指向同一IP。这些地址会定期轮换,新地址也会定期使用。目前已有超过75个独特的IP被发现利用恶意子域。"
凭借众多的规避技术、零日攻击和高水平的成熟度,垂钓者攻击工具包已经提升为市场上更强大的黑客工具包。
以前最畅销的开发工具包BlackHole被认为是危险的工具包,但去年在臭名昭著的BlackHole开发工具包背后的主谋“Paunch”被捕后,开发工具包从市场上消失了。
特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
