安全研究人员详细介绍了域阴影如何越来越受网络犯罪分子的欢迎。
据 Bleeping Computer 报道,Palo Alto Networks(Unit 42)的分析师透露了他们如何在短短三个月(2022 年 4 月至 6 月)期间遇到 12,000 多起此类事件。
DNS劫持的一个分支,域阴影提供了通过渗透合法域来创建恶意子域的能力。因此,阴影域不会对父域产生任何影响,这自然使它们难以检测。
网络犯罪分子随后可以将这些子域用于各种目的,包括网络钓鱼、 恶意软件分发以及命令和控制 (C2) 操作。
“我们从这些结果中得出结论,域阴影是对企业的一种积极威胁,如果不利用可以分析大量 DNS 日志的自动化机器学习算法,很难检测到,”Unit 42 表示。
一旦威胁参与者获得访问权限,他们就可以选择破坏主域本身及其所有者,以及该网站的目标用户。然而,他们通过子域引诱个人取得了成功,此外,依靠这种方法,攻击者仍然未被发现的时间更长。
由于域阴影的微妙性质,Unit 42 提到检测实际事件和受损域是多么困难。
事实上,在报告中提到的 12,197 个域中,VirusTotal 平台仅识别出 200 个恶意域。这些案例中的大多数都与个人网络钓鱼活动有关,该活动通过 16 个受感染的网站使用 649 个影子域的网络。
网络钓鱼活动揭示了上述子域如何显示虚假登录页面或将用户重定向到网络钓鱼页面,这基本上可以绕过电子邮件安全过滤器。
当用户访问子域时,需要 Microsoft 帐户的凭据。即使 URL 本身不是来自官方来源,互联网安全工具也无法区分合法登录页面和虚假登录页面,因为没有显示警告。
报告记录的其中一个案例显示,一家澳大利亚培训公司如何确认其用户被黑客入侵,但损害已经通过子域造成。其网站上展示了重建过程的进度条。
目前,Unit 42 的“高精度机器学习模型”已经发现了数百个每天创建的阴影域。考虑到这一点,请务必仔细检查任何向您请求数据的网站的 URL,即使该地址托管在受信任的域中。