據(jù)報道,Angler利用工具采用了一種新的逃避技術(shù)——“域遮蔽”。這是種什么技術(shù)?在惡意攻擊中如何使用?如何防御利用其造成的攻擊呢?
利用工具需要時刻采取新的技術(shù)以與其他的利用工具抗衡并保持盈利。攻擊者如果無法從現(xiàn)有工具包獲取利潤,他要么會改善當(dāng)前的裝備,要么改用新的工具。提高逃避技術(shù)也將對攻擊者有所幫助。
根據(jù)思科Talos研究人員所稱,“域遮蔽”(domain shadowing)技術(shù)是指收集域賬戶認(rèn)證,為了在不讓實際擁有者知曉的情況下悄悄向惡意服務(wù)器創(chuàng)建子域。這是快速流量命名攻擊的一個變種。
在利用域遮蔽技術(shù)的攻擊中,攻擊者將登錄到域名注冊網(wǎng)站,建立一個全新的注冊到一臺新的服務(wù)器IP地址的子域名。通過注冊很多子域名及IP地址,攻擊者能夠逃避黑名單技術(shù),不過,其無法繞過基于信任度的過濾技術(shù)。
域遮蔽技術(shù)可以用來為惡意軟件嵌入DNS名,用于從一個僵尸主機(jī)上下載惡意軟件,或是命令一臺受感染系統(tǒng)將竊取的數(shù)據(jù)發(fā)送到哪個地方。
企業(yè)防御域遮蔽技術(shù)可謂困難重重,因為域遮蔽使用的一些技術(shù)同樣為一些托管服務(wù)公司在使用著。
當(dāng)然,企業(yè)仍舊可以采取一些措施的。比如說,對IP地址進(jìn)行基于信任度的黑名單檢查,來看其是否已經(jīng)解決掉多個名稱或IP地址,然后執(zhí)行啟發(fā)式行為分析,以識別哪些潛在的惡意網(wǎng)絡(luò)連接需要再進(jìn)一步進(jìn)行調(diào)查。