根据最近的一项调查显示,曾被犯罪分子用于支持RIG漏洞利用套件的成千上万个非法子域名(通过网络钓鱼攻击所获取的受害者凭证进行注册)日前已经被大范围关停。

其中大多数子域名皆使用GoDaddy作为主域名注册商。GoDaddy与RSA Security以及其它数家安全厂商乃至独立研究人员共同合作,已于今年5月凭借这些恶意登陆页面所使用的大量IP地址将相关子域名进行了关停。这种利用失窃凭证创建子域名的作法被称为域名阴影(domain shadowing)。

E安全百科:什么是域名阴影技术?

域名阴影的手法,是利用失窃的正常域名账户,大量创建子域名,然后利用子域名指向恶意网站,或者直接在这些域名绑定的服务器上挂恶意代码,这种恶意攻击手法非常有效。你不知道黑客下一个会使用谁的账户,几乎没有办法去获悉下一个受害者,并且通过这种方式得来的子域名会非常的多,生命周期短暂且域名随机分布,黑客一般没有明显的套路。因此遏止这种犯罪变得十分困难。

然而稍微让人感到安慰的是,在该工具包实验产生的攻击样本里,研究人员能很快地得到结果,这也变相提高了他们采集分析的水平。

根据RSA Security方面的说法,目前尚不清楚本轮对RIG漏洞利用套件相关子域名的清理工作能够在多大程度和规模上减轻恶意广告与垃圾邮件活动。自2016年以来,RIG已经凭借着各使用方对Angler乃至其他多家企业的大规模攻击而成为当时最为流行的漏洞利用套件之一。

RIG的运作方式

RSA Security方面还发布了一份说明RIG的具体运作方式的报告。RSA FirstWatch全球研究团队主管阿历克斯·考克斯(Alex Cox)解释称,犯罪分子很可能利用恶意软件窃取到的信息作为GoDaddy的注册凭证,进而借助由此获取的子域名实施网络钓鱼活动。

事实上,攻击者完全可以在入侵当中添加新的子域名,用于将受害者重新定向至其它托管有漏洞利用套件的IP地址,这部分地址大部分集中在东欧地区。

考克斯指出,此次对RIG恶意套件的调查结果显示,攻击者主要采取向目标设备发送URL的入侵方式。RSA研究人员们得以将各域名映射至具体注册商,最终发现其中大部分注册源为RSA合作伙伴GoDaddy公司。此次与RIG恶意活动相关的网络子域名达四万个,IP地址则达到两千条。今年2月到3月期间已经共出现了四轮此类恶意活动,其中两轮采用了域名阴影手法,并利用有效载荷传播了Cerber勒索软件与Dreambot银行恶意软件。

RSA方面指出,GoDaddy已经成功在今年3月全部关停了四万个域名,而研究人员们亦帮助其构建起部分自动化功能,旨在帮助监控并检测任何类似的域名阴影活动。

考克斯表示,这是一种协调式网络钓鱼活动,攻击者利用钓鱼行为获取的信息充当GoDaddy的注册凭证。目前其它域名注册商也可能面临类似的挑战。攻击者们采取了相当巧妙的域名隐藏技巧,因为他们很清楚一旦有人注册了一条域名,其通常不会重新审视其原始DNS设置以及其它配置信息。很明显,攻击者们用到了自动化调整机制,因为每天都会看到数以百计的变化。

阴影域名的平均保存时间为24小时,而各相关DNS记录将在新的阴影域名创建完成前被全部清理。同时,该技术亦能够顺利绕过内容过滤机制的堵截。举个例子:

“在现代企业当中,如果我运行good.com网站且内容过滤代理认为一切正常,则如果有人在其下挂载起一个恶意子域,那么内容过滤机制将无法发现任何问题。”

考克斯称,犯罪分子非常擅长追踪安全技术的运作方式,他们相当熟悉我们对网络的保护方法,并利用各种创造性手段回避我们的保护机制。

本文转自d1net(转载)

四万个与RIG漏洞利用套件相关的子域名遭到关闭相关推荐

  1. 苹果零日漏洞利用市售800万欧元

    苹果移动操作系统iOS零日漏洞利用可致远程代码执行,市售800万欧元. 苹果零日漏洞可造成巨大破坏 由于以色列网络情报公司NSO Group备受争议的"飞马"(Pegasus)解决 ...

  2. Sundown EK:漏洞利用工具中的抄袭大师

    简介 Sundown是目前市场上最新款的漏洞利用工具,而Sundown的作者也成功地证明了自己其实就是一个抄袭大师.不知道这种"借鸡生蛋"的事情被曝光之后,还有用户会买他的单吗? ...

  3. [译] APT分析报告:08.漏洞利用图谱–通过查找作者的指纹来寻找漏洞

    这是作者新开的一个专栏,主要翻译国外知名安全厂商的APT报告,了解它们的安全技术,学习它们溯源APT组织和恶意代码分析的方法,希望对您有所帮助.当然,由于作者英语有限,会借助机翻进行校验,还请包涵!前 ...

  4. 获取linux内核基址,Linux内核漏洞利用技术:覆写modprobe_path

    0x00 前言 如果大家阅读过我此前发表的Linux内核漏洞利用的相关文章,可能会知道我们最近一直在学习这块内容.在过去的几周里,我的团队参加了DiceCTF和UnionCTF比赛,其中都包括了Lin ...

  5. 格式化字符串漏洞利用 四、利用的变体

    四.利用的变体 原文:Exploiting Format String Vulnerabilities 作者:scut@team-teso.net 译者:飞龙 日期:2001.9.1 版本:v1.2 ...

  6. 风炫安全Web安全学习第四十节课 反序列化漏洞攻击利用演示

    风炫安全Web安全学习第四十节课 反序列化漏洞攻击利用演示 0x02 反序列化漏洞利用 反序列化漏洞的成因在于代码中的 unserialize() 接收的参数可控,从上面的例子看,这个函数的参数是一个 ...

  7. ewebeditor漏洞利用汇总

    ewebeditor漏洞利用汇总 2007年09月24日 星期一 22:43 inurl:ewebeditor 现在eWebSoft在线编辑器用户越来越多,危害就越来越大~ 首先介绍编辑器的一些默认特 ...

  8. 流行漏洞利用工具包瞄准Flash、Java和IE

    Digital Shadows研究了"In the Business of Exploitation"中22个漏洞利用工具包,发现共有76个被瞄准的漏洞.最常被利用的软件应该不会太 ...

  9. Automatic Exploit Generation:漏洞利用自动化

    漏洞利用是二进制安全的核心内容之一.当安全研究员挖掘到一个新的漏洞时,首先要做的事情就是尝试写POC和exploit.所谓POC,一般来说就是一个能够让程序崩溃的输入,且能够证明控制寄存器或者其他违反 ...

  10. [系统安全] 十.Windows漏洞利用之SMBv3服务远程代码执行漏洞(CVE-2020-0796)及防御详解

    您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列.因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全.逆向分 ...

最新文章

  1. 51nod1565 FFT
  2. jQuery学习笔记(一)
  3. 【C/C++】内存分配函数:malloc,calloc,realloc,_alloca
  4. redis windows版本的使用
  5. 【渝粤教育】 广东开放大学 21秋期末考试物业环境与秩序管理10122k2
  6. 记录一下alibaba cloud boot 版本对应关系
  7. 操作系统用户态内核态线程同步
  8. UVALive 4975 Casting Spells
  9. STM32-SPI通信
  10. 小米组织架构调整:雷军兼任中国区总裁 组建大家电部门
  11. Kafka负载均衡策略
  12. X86工控机虚拟显示器设置(nomachine远程桌面)
  13. librtmp源码详解
  14. 数据库系统的三级模式结构
  15. html插入页码,Word添加页码后,每一页的页码都一样怎么办?
  16. c语言case小于,大于和小于switch语句C
  17. C#VS工程报错:CS0234 命名空间“Microsoft.VisualStudio”中不存在类型或命名空间名“VCProjectEngine(是否缺少程序集引用)
  18. 卸载xftp7 安装xftp5后,点击xshell中打开xftp快捷按钮,提示“无法打开xftp”
  19. 在c语言中 if语句后的一对原括号,c语言中if语句后的一对圆括号中
  20. 对Scrollbar实现平时隐藏,滑动时出现

热门文章

  1. 程序员:如何成为一个全栈的工程师? 1
  2. (转)Django ==== 实战学习篇十三 分页(Paginator)处理;Django使用内置的admin
  3. 《Unix环境高级编程》学习笔记
  4. laravel 自带验证
  5. 函数(八)-函数和匿名函数
  6. Mybatis实现高级映射一对一、一对多查询
  7. Can't create new folder in windows7
  8. Spring MVC 基于URL的映射规则(注解版)
  9. Elasticsearch从0.90(0.90.x)到1.2(1.x)API的变化-二
  10. android状态栏自定义,如何自定义Android状态栏颜色