臭名昭著的釣魚工具包Angler Exploit Kit最近更新了許多漏洞利用工具(含0day)，以及一項名為“域名陰影(Domain Shadowing)”的新技術，將另一個知名惡意工具包BlackHole exploit kit完全擊敗，成為當前市面上最“先進”的釣魚攻擊裝備。

Angler Exploit Kit采用的這新技術被稱為“域名陰影(Domain Shadowing)”，該技術被認為是網絡犯罪的新突破。域名陰影這個詞在2011年首次出現，簡單來說，其原理即竊取用戶的域名賬戶去大量創建子域。

科普：什么是域名陰影技術?

域名陰影技術在最近一次釣魚事件中扮演了重要的角色。黑客竊取了受害者(網站站長)的域名賬戶，創建了數以萬計的子域名。然后利用子域名指向惡意網站，或者直接在這些域名綁定的服務器上掛惡意代碼。

思科Talos研究團隊的安全研究員–Nick Biasin，對這次釣魚事件進行了分析，其表示在過去的三個月里，黑客利用Adobe Flash和Microsoft Silverlight漏洞為基礎，通過域名陰影技術進行了大規模釣魚攻擊：

“域名陰影的手法，是利用失竊的正常域名賬戶，大量創建子域名，從而進行釣魚攻擊。這種惡意攻擊手法非常有效，且難以遏止。因為你不知道黑客下一個會使用誰的賬戶，所以幾乎沒有辦法去獲悉下一個受害者。”

這樣得來的子域會非常的多，生命周期短暫且域名隨機分布，黑客一般并沒有明顯的套路。這讓遏止這種犯罪變得愈加困難，研究也變得十分不易。然而稍微讓人感到安慰的是，在該工具包實驗產生的攻擊樣本里，研究人員能很快地得到結果，這也變相提高了他們采集分析的水平。

事件分析

在最近的那次釣魚攻擊中，黑客會不定期監測那些域名賬戶，源源不斷地生成子域名進行網絡釣魚攻擊。

還有一種新技術叫做Fast Flux，黑客利用它能改變綁定域名的IP地址，以逃避黑名單和安全工具的監測。與域名陰影技術不同的是，域名陰影技術會把子域輪流綁定給單個域名，或者將一批IP地址與子域進行輪換綁定，Fast Flux技術則能在短時間內，將單一域名或DNS記錄與大量IP地址進行輪換綁定。

GoDaddy受影響最大

安全研究人員已經發現了約1萬個這樣的子域，其中大部分為全球目前最大的域名提供商GoDaddy的帳戶。有安全研究人員卻指出，這并不是普通的數據泄露所造成的。不管怎么說，GoDaddy占了網絡上約三分之一的域名，危害還是相當大的。

攻擊過程

這次釣魚攻擊分為多個步奏，每一步都使用了大量僵尸子域，分析如下：

1.用戶在用戶瀏覽web時展示惡意廣告

2.惡意廣告將受害者重定向到第一層子域，這是噩夢的開始

3.這一層的子域則會給用戶提供有著Adobe Flash或者Microsoft Silverlight漏洞的登陸頁

4.最后受害者到達的頁面有時更替地比較頻繁，不盡相同，那些頁面里腳本在短時間內就運行起效

有時攻擊者會利用同個IP與在同根域下的多個子域，進行輪換綁定;而有時候也會嘗試使用同一賬戶下的不同域名與該IP進行輪替綁定。當然，也有可能不同賬戶的子域指向同一IP。由此看來，地址過濾不是辦法，黑客完全可以定期輪換以實現監測逃逸。目前，現在安全研究人員已經發現了超過75個獨立IP，它們都使用了這種利用惡意子域進行釣魚攻擊的手法。

包含了監測逃逸技術、0day漏洞、以及各類先進技術的Angler Exploit Kit工具包十分危險，而之前很受“歡迎”的BlackHole exploit kit工具包則隨著其經營團隊的首腦Paunch入獄在市面上銷聲匿跡了。希望各位小伙伴留意這些攻擊方式。