GoDaddy遭大規模攻擊！　萬個子域名被盜用

根據Cisco一個安全研究組最近報告指出，有近一萬個subdomain被攻擊者盜用作惡意用途，受影響用戶全部來自最大域名註冊商之一GoDaddy，利用Domain Shadowing手法進行攻擊。

此攻擊匪方式首見於2011年，直至最近黑市推出了Angler Exploit Kit攻擊工具而大受黑客歡迎，工具似乎是以2011年的攻擊模式為原型而製作，估計類似的攻擊工具未來會陸續出現。現時有很多黑客組織以銷售攻擊工具圖利，這不法的市場價值已經是一門新興經濟，所以執法部份取締了一個仍然有其他工具會出現，而黑客的工具也不斷改進。

Domain Shadowing是透過登入GoDaddy用戶的帳號，開設大量子網域，由於不影響用戶的域名所以難以察覺帳戶被更改，而黑客就可以利用這些「乾淨」的子域名進行很多網絡詐騙。為何這次受害者全部都來自GoDaddy？暫時沒有足夠證據推測，而GoDaddy作為互聯網世界單一最大域名註冊者，接近三分一域名帳戶在GoDaddy之下管理，是黑客一直垂涎的目標。目前分析出近萬個惡意子域名是來自數百個帳戶，當中大部份域名都是最近三個月才註冊，而且攻擊活躍程度未有減少，受影響帳戶一直上升。

子域名利用字典常用字及隨機數字組合而成，用作Redirect去其他頁面，以及作為惡意網頁的登陸頁，這些網站一般撤換非常快，不止輪流轉移子域名，連主機IP也不時轉換。最終目的是令一般網站黑名單等機制失效，而安全系統需要另類機制過濾惡意網站，所以單用信任制或黑名單技術並不可行，需要配合行為檢測、Sandbox等技術，以分析所開啟的檔案是否安全。