過期域名成惡意活動的“溫床”

責(zé)任編輯：editor005 作者：Michael Heller |來源：企業(yè)網(wǎng)D1Net 2016-10-21 14:19:00 本文摘自：TechTarget中國

專家表示，購買過期域名主要用于推廣目的，但研究人員指出，這些域名和被棄用的SDK給攻擊者提供了更多機會來攻擊手機用戶。

Palo Alto Networks公司研究人員Zhi Xu和Tongbo Luo在病毒公報國際會議上談到了這種風(fēng)險。

根據(jù)這兩位研究人員表示，很多第三方應(yīng)用軟件開發(fā)工具包（SDK）被遺棄，而這些應(yīng)用仍然可供用戶使用。這些應(yīng)用試圖聯(lián)系過期域名的命令和控制服務(wù)器，可能會被用于惡意活動。

“數(shù)百家這樣的SDK公司都是曇花一現(xiàn)的初創(chuàng)公司，但很多這些初創(chuàng)公司倒閉后，沒有人來維護這個基礎(chǔ)設(shè)施，”Xu在會議中稱，“如果沒有維護，包含這些SDK的應(yīng)用會嘗試與主服務(wù)器通信以獲得指示，但沒有任何響應(yīng)。當(dāng)域名過期時，攻擊者可接管這些域名和基礎(chǔ)設(shè)施，并發(fā)送惡意指令和內(nèi)容。”

這兩位研究人員將這些過期的域名稱為僵尸，他們研究了使用575000獨特根域名的280萬Android應(yīng)用，其中65000個被認為是僵尸，33000個過期域名可供購買。如果這些過期域名被惡意活動者購買，在某些情況下，原始通信信道將被SDK的相同管理特權(quán)重新激活。

RiskIQ公司威脅和安全研究主管James Pleger稱他每天都看到這種類型的接管。

“大多數(shù)時候，這些域名購買并不是惡意的，而是用于推廣。然而，確實有些攻擊者在購買過期域名將惡意代碼注入到網(wǎng)頁中，”Pleger稱，“從移動設(shè)備的角度來看，這可能不是攻擊者采取的第一步，但鑒于攻擊者非常熟練，這種情況非常可能出現(xiàn)。除了了解攻擊者擁有的資源外，了解企業(yè)的攻擊面也是阻止這種類型攻擊的關(guān)鍵所在。”

反惡意軟件公司Bitdefender公司高級電子威脅研究人員Liviu Arsene稱，這種攻擊的風(fēng)險可能相對較低。

“雖然遺棄的應(yīng)用和域名確實可能帶來風(fēng)險，但這些應(yīng)用可能并沒有很多用戶在使用，”Arsene稱，“因此，惡意攻擊者利用這些域名來感染大量用戶的機會相對較小。”

Pleger稱，安全公司可掃描被濫用的域名，這些域名利用受信任的品牌發(fā)送流量到其他網(wǎng)站、竊取敏感數(shù)據(jù)、分發(fā)惡意軟件、銷售假冒商品等。

“通過搜索Whols注冊和被動DNS（域名系統(tǒng)）數(shù)據(jù)，你可識別第三方所有的域名，然后智能地區(qū)分公司所有和惡意域名及子域，從而檢測所有惡意重定向和其他非法行為，”Pleger稱，“這可提供所需的背景信息來確定攻擊者可能如何利用每個域名以及這對相關(guān)企業(yè)構(gòu)成的風(fēng)險。”

Arsene指出，發(fā)現(xiàn)有風(fēng)險的過期域名可能更為困難，這取決于通過該域名執(zhí)行的惡意活動。

“例如，當(dāng)這些應(yīng)用開始將用戶的瀏覽器重定向到已知的傳播惡意軟件的網(wǎng)站時，安全解決方案將警告用戶潛在的威脅，”Arsene稱，“但如果命令控制服務(wù)器被用于簡單地通過這些應(yīng)用從受害者處收集信息，這又是另一回事。”

在9月份，蘋果公司宣布了一項新政策，即從其iOS應(yīng)用商店移除被棄用的應(yīng)用，以確保應(yīng)用的功能性以及保持更新。目前尚不清楚是否是過期域名的風(fēng)險讓蘋果公司做出這個決定，蘋果也沒有對此作出回應(yīng)。谷歌對其移除被棄用應(yīng)用的政策也沒有作出回應(yīng)。

但Pleger和Arsene都認為這一政策是緩解風(fēng)險的很好的一步。

“無人維護的軟件不僅給用戶帶來安全風(fēng)險，也會給應(yīng)用商店帶來影響，”Pleger稱，“鑒于這一點，當(dāng)應(yīng)用沒有更新，在一段時間后應(yīng)該移除應(yīng)用，而當(dāng)應(yīng)用存在重大漏洞時，也應(yīng)考慮進行移除。”

Arsene指出這是一個好的開始，但并不能完全阻止惡意活動。

“移除遺棄的應(yīng)用是防止惡意活動的第一步，但是，企業(yè)還應(yīng)該審查應(yīng)用是否存在惡意軟件，并檢查廣告軟件SDK，”Arsene稱，“這并不是我們第一次看到應(yīng)用充滿高度攻擊性的廣告或者潛在的惡意軟件。盡管廣告軟件SDK可為應(yīng)用開發(fā)人員帶來收入，但這種SDK的目的是便于開發(fā)人員將其應(yīng)用連接到該服務(wù)，這意味著發(fā)送給用戶的內(nèi)容通常不會經(jīng)過審查。”

關(guān)鍵字：惡意軟件谷歌 Whols