Palo Alto Networks (Unit 42) 的威胁分析师发现,“域阴影”现象可能比以前想象的更为普遍,在 2022 年 4 月至 2022 年 6 月期间扫描网络时发现了 12,197 起案件。
域阴影是 DNS 劫持的一个子类别,其中威胁者破坏合法域的 DNS 以托管自己的子域以用于恶意活动,但不修改已经存在的合法 DNS 条目。
然后,这些子域被用来在网络犯罪分子的服务器上创建恶意页面,而域所有者的网站的网页和 DNS 记录保持不变,并且所有者没有意识到他们已被破坏。
与此同时,威胁参与者可以自由地托管 C2(命令和控制)地址、网络钓鱼站点和恶意软件投放点,滥用被劫持域的良好声誉来绕过安全检查。
理论上,攻击者可以将 DNS 记录更改为目标用户和受感染域的所有者,但他们通常更喜欢采用上述隐蔽路径。
难以检测
Unit 42 解释说,检测域阴影的真实案例特别具有挑战性,这使得该策略对肇事者如此诱人。
分析师提到,在 Palo Alto 的检测器发现的 12,197 个域中,VirusTotal 仅将 200 个域标记为恶意域。
大多数 (151) VirusTotal 检测与使用 16 个受感染网站上的 649 个影子域网络的单个网络钓鱼活动有关。
“我们从这些结果中得出结论,域阴影是对企业的一种积极威胁,如果不利用可以分析大量 DNS 日志的自动化机器学习算法,就很难检测到。”
此外,托管在具有良好声誉的域上的网络钓鱼页面对访问者来说似乎是值得信赖的,从而使他们更有可能在页面上提交数据。
跟踪网络钓鱼活动
Palo Alto 研究人员发现的网络钓鱼活动入侵了 16 个域,创建了 649 个子域,托管虚假登录页面或指向网络钓鱼页面的重定向点。
重定向到网络钓鱼站点的子域可以轻松绕过电子邮件安全过滤器,因为它们不托管任何恶意内容并且具有良好的声誉。
威胁行为者以 Microsoft 帐户凭据为目标,虽然该 URL 显然与 Microsoft 无关,但它不会触发来自 Internet 安全工具的警告。
![登录页面接收来自 snaitechbumxzzwt.barwonbluff[.]com.au 的重定向](https://news.zzqidc.com/wp-content/uploads/2022/09/shadow.jpeg)
在一种情况下,域所有者意识到了这种妥协,但在创建大量子域并促进对其基础设施的恶意操作之前。
虽然保护恶意子域是域所有者、注册商和 DNS 服务提供商的责任,但用户在提交数据时始终保持警惕是明智的。
这包括知名域上的子域可能是恶意的,以及用户在提交凭据或其他敏感信息之前仔细检查所有内容的可能性。
