根據最近的一項調查顯示，曾被犯罪分子用于支持RIG漏洞利用套件的成千上萬個非法子域名(通過網絡釣魚攻擊所獲取的受害者憑證進行注冊)日前已經被大范圍關停。

其中大多數子域名皆使用GoDaddy作為主域名注冊商。GoDaddy與RSA Security以及其它數家安全廠商乃至獨立研究人員共同合作，已于今年5月憑借這些惡意登陸頁面所使用的大量IP地址將相關子域名進行了關停。這種利用失竊憑證創建子域名的作法被稱為域名陰影(domain shadowing)。

E安全百科：什么是域名陰影技術?

域名陰影的手法，是利用失竊的正常域名賬戶，大量創建子域名，然后利用子域名指向惡意網站，或者直接在這些域名綁定的服務器上掛惡意代碼，這種惡意攻擊手法非常有效。你不知道黑客下一個會使用誰的賬戶，幾乎沒有辦法去獲悉下一個受害者，并且通過這種方式得來的子域名會非常的多，生命周期短暫且域名隨機分布，黑客一般沒有明顯的套路。因此遏止這種犯罪變得十分困難。

然而稍微讓人感到安慰的是，在該工具包實驗產生的攻擊樣本里，研究人員能很快地得到結果，這也變相提高了他們采集分析的水平。

根據RSA Security方面的說法，目前尚不清楚本輪對RIG漏洞利用套件相關子域名的清理工作能夠在多大程度和規模上減輕惡意廣告與垃圾郵件活動。自2016年以來，RIG已經憑借著各使用方對Angler乃至其他多家企業的大規模攻擊而成為當時最為流行的漏洞利用套件之一。

RIG的運作方式

RSA Security方面還發布了一份說明RIG的具體運作方式的報告。RSA FirstWatch全球研究團隊主管阿歷克斯·考克斯(Alex Cox)解釋稱，犯罪分子很可能利用惡意軟件竊取到的信息作為GoDaddy的注冊憑證，進而借助由此獲取的子域名實施網絡釣魚活動。

事實上，攻擊者完全可以在入侵當中添加新的子域名，用于將受害者重新定向至其它托管有漏洞利用套件的IP地址，這部分地址大部分集中在東歐地區。

考克斯指出，此次對RIG惡意套件的調查結果顯示，攻擊者主要采取向目標設備發送URL的入侵方式。RSA研究人員們得以將各域名映射至具體注冊商，最終發現其中大部分注冊源為RSA合作伙伴GoDaddy公司。此次與RIG惡意活動相關的網絡子域名達四萬個，IP地址則達到兩千條。今年2月到3月期間已經共出現了四輪此類惡意活動，其中兩輪采用了域名陰影手法，并利用有效載荷傳播了Cerber勒索軟件與Dreambot銀行惡意軟件。

RSA方面指出，GoDaddy已經成功在今年3月全部關停了四萬個域名，而研究人員們亦幫助其構建起部分自動化功能，旨在幫助監控并檢測任何類似的域名陰影活動。

考克斯表示，這是一種協調式網絡釣魚活動，攻擊者利用釣魚行為獲取的信息充當GoDaddy的注冊憑證。目前其它域名注冊商也可能面臨類似的挑戰。攻擊者們采取了相當巧妙的域名隱藏技巧，因為他們很清楚一旦有人注冊了一條域名，其通常不會重新審視其原始DNS設置以及其它配置信息。很明顯，攻擊者們用到了自動化調整機制，因為每天都會看到數以百計的變化。

陰影域名的平均保存時間為24小時，而各相關DNS記錄將在新的陰影域名創建完成前被全部清理。同時，該技術亦能夠順利繞過內容過濾機制的堵截。舉個例子：

“在現代企業當中，如果我運行good.com網站且內容過濾代理認為一切正常，則如果有人在其下掛載起一個惡意子域，那么內容過濾機制將無法發現任何問題。”

考克斯稱，犯罪分子非常擅長追蹤安全技術的運作方式，他們相當熟悉我們對網絡的保護方法，并利用各種創造性手段回避我們的保護機制。