据报道,Angler利用工具采用了一种新的逃避技术——“域遮蔽”。这是种什么技术?在恶意攻击中如何使用?如何防御利用其造成的攻击呢?
利用工具需要时刻采取新的技术以与其他的利用工具抗衡并保持盈利。攻击者如果无法从现有工具包获取利润,他要么会改善当前的装备,要么改用新的工具。提高逃避技术也将对攻击者有所帮助。
根据思科Talos研究人员所称,“域遮蔽”(domain shadowing)技术是指收集域账户认证,为了在不让实际拥有者知晓的情况下悄悄向恶意服务器创建子域。这是快速流量命名攻击的一个变种。
在利用域遮蔽技术的攻击中,攻击者将登录到域名注册网站,建立一个全新的注册到一台新的服务器IP地址的子域名。通过注册很多子域名及IP地址,攻击者能够逃避黑名单技术,不过,其无法绕过基于信任度的过滤技术。
域遮蔽技术可以用来为恶意软件嵌入DNS名,用于从一个僵尸主机上下载恶意软件,或是命令一台受感染系统将窃取的数据发送到哪个地方。
企业防御域遮蔽技术可谓困难重重,因为域遮蔽使用的一些技术同样为一些托管服务公司在使用着。
当然,企业仍旧可以采取一些措施的。比如说,对IP地址进行基于信任度的黑名单检查,来看其是否已经解决掉多个名称或IP地址,然后执行启发式行为分析,以识别哪些潜在的恶意网络连接需要再进一步进行调查。
