根據Cisco一個安全研究組最近報告指出,有近一萬個subdomain被攻擊者盜用作惡意用途,受影響用戶全部來自最大域名註冊商之一GoDaddy,利用Domain Shadowing手法進行攻擊。
此攻擊匪方式首見於2011年,直至最近黑市推出了Angler Exploit Kit攻擊工具而大受黑客歡迎,工具似乎是以2011年的攻擊模式為原型而製作,估計類似的攻擊工具未來會陸續出現。現時有很多黑客組織以銷售攻擊工具圖利,這不法的市場價值已經是一門新興經濟,所以執法部份取締了一個仍然有其他工具會出現,而黑客的工具也不斷改進。
Domain Shadowing是透過登入GoDaddy用戶的帳號,開設大量子網域,由於不影響用戶的域名所以難以察覺帳戶被更改,而黑客就可以利用這些「乾淨」的子域名進行很多網絡詐騙。為何這次受害者全部都來自GoDaddy?暫時沒有足夠證據推測,而GoDaddy作為互聯網世界單一最大域名註冊者,接近三分一域名帳戶在GoDaddy之下管理,是黑客一直垂涎的目標。目前分析出近萬個惡意子域名是來自數百個帳戶,當中大部份域名都是最近三個月才註冊,而且攻擊活躍程度未有減少,受影響帳戶一直上升。
子域名利用字典常用字及隨機數字組合而成,用作Redirect去其他頁面,以及作為惡意網頁的登陸頁,這些網站一般撤換非常快,不止輪流轉移子域名,連主機IP也不時轉換。最終目的是令一般網站黑名單等機制失效,而安全系統需要另類機制過濾惡意網站,所以單用信任制或黑名單技術並不可行,需要配合行為檢測、Sandbox等技術,以分析所開啟的檔案是否安全。
GoDaddy遭大規模攻擊! 萬個子域名被盜用
https://www.facebook.com/hkitblog