钓鱼攻击工具包Angler Exploit Kit又添杀招

安全 黑客攻防
臭名昭著的钓鱼工具包Angler Exploit Kit最近更新了许多漏洞利用工具(含0day),以及一项名为“域名阴影(Domain Shadowing)”的新技术,将另一个知名恶意工具包BlackHole exploit kit完全击败,成为当前市面上最“先进”的钓鱼攻击装备。

臭名昭著的钓鱼工具包Angler Exploit Kit最近更新了许多漏洞利用工具(含0day),以及一项名为“域名阴影(Domain Shadowing)”的新技术,将另一个知名恶意工具包BlackHole exploit kit完全击败,成为当前市面上最“先进”的钓鱼攻击装备。

钓鱼攻击工具包Angler Exploit Kit又添杀招

Angler Exploit Kit采用的这新技术被称为“域名阴影(Domain Shadowing)”,该技术被认为是网络犯罪的新突破。域名阴影这个词在2011年首次出现,简单来说,其原理即窃取用户的域名账户去大量创建子域。

科普:什么是域名阴影技术?

域名阴影技术在最近一次钓鱼事件中扮演了重要的角色。黑客窃取了受害者(网站站长)的域名账户,创建了数以万计的子域名。然后利用子域名指向恶意网站,或者直接在这些域名绑定的服务器上挂恶意代码。

思科Talos研究团队的安全研究员–Nick Biasin,对这次钓鱼事件进行了分析,其表示在过去的三个月里,黑客利用Adobe Flash和Microsoft Silverlight漏洞为基础,通过域名阴影技术进行了大规模钓鱼攻击:

“域名阴影的手法,是利用失窃的正常域名账户,大量创建子域名,从而进行钓鱼攻击。这种恶意攻击手法非常有效,且难以遏止。因为你不知道黑客下一个会使用谁的账户,所以几乎没有办法去获悉下一个受害者。”

这样得来的子域会非常的多,生命周期短暂且域名随机分布,黑客一般并没有明显的套路。这让遏止这种犯罪变得愈加困难,研究也变得十分不易。然而稍微让人感到安慰的是,在该工具包实验产生的攻击样本里,研究人员能很快地得到结果,这也变相提高了他们采集分析的水平。

事件分析

在最近的那次钓鱼攻击中,黑客会不定期监测那些域名账户,源源不断地生成子域名进行网络钓鱼攻击。

还有一种新技术叫做Fast Flux,黑客利用它能改变绑定域名的IP地址,以逃避黑名单和安全工具的监测。与域名阴影技术不同的是,域名阴影技术会把子域轮流绑定给单个域名,或者将一批IP地址与子域进行轮换绑定,Fast Flux技术则能在短时间内,将单一域名或DNS记录与大量IP地址进行轮换绑定。

GoDaddy受影响最大

安全研究人员已经发现了约1万个这样的子域,其中大部分为全球目前最大的域名提供商GoDaddy的帐户。有安全研究人员却指出,这并不是普通的数据泄露所造成的。不管怎么说,GoDaddy占了网络上约三分之一的域名,危害还是相当大的。

攻击过程

这次钓鱼攻击分为多个步奏,每一步都使用了大量僵尸子域,分析如下:

1.用户在用户浏览web时展示恶意广告

2.恶意广告将受害者重定向到第一层子域,这是噩梦的开始

3.这一层的子域则会给用户提供有着Adobe Flash或者Microsoft Silverlight漏洞的登陆页

4.最后受害者到达的页面有时更替地比较频繁,不尽相同,那些页面里脚本在短时间内就运行起效

有时攻击者会利用同个IP与在同根域下的多个子域,进行轮换绑定;而有时候也会尝试使用同一账户下的不同域名与该IP进行轮替绑定。当然,也有可能不同账户的子域指向同一IP。由此看来,地址过滤不是办法,黑客完全可以定期轮换以实现监测逃逸。目前,现在安全研究人员已经发现了超过75个独立IP,它们都使用了这种利用恶意子域进行钓鱼攻击的手法。

包含了监测逃逸技术、0day漏洞、以及各类先进技术的Angler Exploit Kit工具包十分危险,而之前很受“欢迎”的BlackHole exploit kit工具包则随着其经营团队的首脑Paunch入狱在市面上销声匿迹了。希望各位小伙伴留意这些攻击方式。

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2015-08-04 14:01:22

2023-08-10 23:33:43

2022-02-27 23:10:26

微服务工具包Golang

2015-07-28 17:37:17

2022-03-22 09:22:21

Go kitgRPC网络传输

2021-10-27 06:02:10

网络钓鱼工具包攻击

2015-03-18 13:23:23

2011-11-22 13:17:47

2021-03-05 10:03:21

网络钓鱼LogoKit网络犯罪

2018-05-03 09:03:16

微软工具包Windows

2022-01-03 07:51:45

网络钓鱼安全测试工具安全工具

2011-01-20 17:21:31

2015-01-05 13:29:37

2012-06-25 09:26:33

2021-05-20 05:30:58

网络钓鱼攻击恶意文件

2020-02-10 16:07:42

工具包

2011-04-18 09:46:58

Windows工具包活动目录MPS报告

2009-09-16 08:34:17

Windows Emb

2009-04-03 11:12:43

PalmwebOS开发

2017-08-17 18:20:38

点赞
收藏

51CTO技术栈公众号