安全专家发现攻击者利用影子域名开展RIG恶意活动
据外媒报道,近日,美国网络安全公司RSA Security、域名注册商GoDaddy和其他机构的研究人员共同合作,破获了超过4万个活跃的影子域名资源,这些域名被用作与攻击工具包RIG相关的恶意活动的基础设施。RSA表示,此举将完全终止恶意攻击活动EITEST和PseudoDarkleech,这两项活动利用RIG传播银行木马、勒索软件和其他恶意软件。据悉,这些影子域名大多由东欧的主机供应商提供,影响了逾800个合法域名。攻击者在RIG恶意活动中使用了"域名阴影"(Domain shadowing)技术,即通过窃取域名注册者的凭证数据,在合法域名下创建恶意子域名,从而隐藏恶意软件页面,并利用合法域名套件。大多数受害者在进入合法网站后被引导至RIG登录页面,该页面可检查和入侵访问的客户端系统,并安装各种恶意有效载荷。经调查,大部分恶意子域名在创建后的5至10天内被删除,实际使用时间可能接近24至48小时,这种快速的变动加大了防御难度。安全专家指出,封锁处理技术和异常检测的混合使用可帮助检测和预防域名遭滥用。此外,组织还应对域名服务器(DNS)记录进行监控,定期、最好是自动化地检查其中未经授权的更改或添加记录。
