四萬個與RIG漏洞利用套件相關的子域名遭到關閉

E安全6月8日訊 根據最近的一項調查顯示，曾被犯罪分子用於支持RIG漏洞利用套件的成千上萬個非法子域名（通過網路釣魚攻擊所獲取的受害者憑證進行註冊）日前已經被大範圍關停。

其中大多數子域名皆使用GoDaddy作為主域名註冊商。GoDaddy與RSA Security以及其它數家安全廠商乃至獨立研究人員共同合作，已於今年5月憑藉這些惡意登陸頁面所使用的大量IP地址將相關子域名進行了關停。這種利用失竊憑證創建子域名的作法被稱為域名陰影（domain shadowing）。

E安全百科：什麼是域名陰影技術？

域名陰影的手法，是利用失竊的正常域名賬戶，大量創建子域名，然後利用子域名指向惡意網站，或者直接在這些域名綁定的伺服器上掛惡意代碼，這種惡意攻擊手法非常有效。你不知道黑客下一個會使用誰的賬戶，幾乎沒有辦法去獲悉下一個受害者，並且通過這種方式得來的子域名會非常的多，生命周期短暫且域名隨機分布，黑客一般沒有明顯的套路。因此遏止這種犯罪變得十分困難。

然而稍微讓人感到安慰的是，在該工具包實驗產生的攻擊樣本里，研究人員能很快地得到結果，這也變相提高了他們採集分析的水平。

根據RSA

Security方面的說法，目前尚不清楚本輪對RIG漏洞利用套件相關子域名的清理工作能夠在多大程度和規模上減輕惡意廣告與垃圾郵件活動。自2016年以來，RIG已經憑藉著各使用方對Angler乃至其他多家企業的大規模攻擊而成為當時最為流行的漏洞利用套件之一。

RIG的運作方式

RSA
Security方面還發布了一份說明RIG的具體運作方式的報告。RSA FirstWatch全球研究團隊主管阿歷克斯·考克斯（Alex
Cox）解釋稱，犯罪分子很可能利用惡意軟體竊取到的信息作為GoDaddy的註冊憑證，進而藉助由此獲取的子域名實施網路釣魚活動。

事實上，攻擊者完全可以在入侵當中添加新的子域名，用於將受害者重新定向至其它託管有漏洞利用套件的IP地址，這部分地址大部分集中在東歐地區。

考克斯指出，此次對RIG惡意套件的調查結果顯示，攻擊者主要採取向目標設備發送URL的入侵方式。RSA研究人員們得以將各域名映射至具體註冊商，最終發現其中大部分註冊源為RSA合作夥伴GoDaddy公司。此次與RIG惡意活動相關的網路子域名達四萬個，IP地址則達到兩千條。今年2月到3月期間已經共出現了四輪此類惡意活動，其中兩輪採用了域名陰影手法，並利用有效載荷傳播了Cerber勒索軟體與Dreambot銀行惡意軟體。

RSA方面指出，GoDaddy已經成功在今年3月全部關停了四萬個域名，而研究人員們亦幫助其構建起部分自動化功能，旨在幫助監控並檢測任何類似的域名陰影活動。

考克斯表示，這是一種協調式網路釣魚活動，攻擊者利用釣魚行為獲取的信息充當GoDaddy的註冊憑證。目前其它域名註冊商也可能面臨類似的挑戰。攻擊者們採取了相當巧妙的域名隱藏技巧，因為他們很清楚一旦有人註冊了一條域名，其通常不會重新審視其原始DNS設置以及其它配置信息。很明顯，攻擊者們用到了自動化調整機制，因為每天都會看到數以百計的變化。

陰影域名的平均保存時間為24小時，而各相關DNS記錄將在新的陰影域名創建完成前被全部清理。同時，該技術亦能夠順利繞過內容過濾機制的堵截。舉個例子：

「在現代企業當中，如果我運行good.com網站且內容過濾代理認為一切正常，則如果有人在其下掛載起一個惡意子域，那麼內容過濾機制將無法發現任何問題。」

考克斯稱，犯罪分子非常擅長追蹤安全技術的運作方式，他們相當熟悉我們對網路的保護方法，並利用各種創造性手段迴避我們的保護機制。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！