安全企业Palo Alto Networks本周提醒,黑客越来越常利用影子域名(Domain Shadowing)来从事不法行动,却只有少数企业侦测到这些恶意域名。
影子域名属于DNS劫持的一种,黑客企图入侵既有的域名,再于这些合法、已经营多年的域名上偷偷地创建子域名,再利用这些子域名进行网络钓鱼攻击或作为僵尸网络的架构。在网络钓鱼攻击的场景中,黑客可以影子域名作为网络钓鱼邮件的域名名称,或是把它当作引导恶意流量的中介点,也能直接作为托管网络钓鱼活动的网站,此外,它也可在僵尸网络行动中作为与C&C通信的代理域名。
为了得以充分且长期利用这些影子域名,黑客通常在成功入侵域名之后,依然努力维持该域名的正常运行,只是偷偷地创建众多的子域名(影子域名)来从事非法行动。在Palo Alto Networks最近发现的两个遭黑的域名中,其主要网站的IP分别来自美国与澳洲,但拥有奇怪名称的子域名IP却皆来自俄罗斯。
更值得注意的是,即使这些邪恶的影子域名越来越泛滥,被侦测到的比例却很低。Palo Alto Networks利用机器学习技术,在今年4月至6月间侦测到了12,197个影子域名,但在VirusTotal上却只有200个被侦测到是恶意的,显示其侦测率低于2%。