E安全6月8日讯 根据最近的一项调查显示，曾被犯罪分子用于支持RIG漏洞利用套件的成千上万个非法子域名（通过网络钓鱼攻击所获取的受害者凭证进行注册）日前已经被大范围关停。

其中大多数子域名皆使用GoDaddy作为主域名注册商。GoDaddy与RSA Security以及其它数家安全厂商乃至独立研究人员共同合作，已于今年5月凭借这些恶意登陆页面所使用的大量IP地址将相关子域名进行了关停。这种利用失窃凭证创建子域名的作法被称为域名阴影（domain shadowing）。

域名阴影的手法，是利用失窃的正常域名账户，大量创建子域名，然后利用子域名指向恶意网站，或者直接在这些域名绑定的服务器上挂恶意代码，这种恶意攻击手法非常有效。你不知道黑客下一个会使用谁的账户，几乎没有办法去获悉下一个受害者，并且通过这种方式得来的子域名会非常的多，生命周期短暂且域名随机分布，黑客一般没有明显的套路。因此遏止这种犯罪十分困难。

然而稍微让人感到安慰的是，在该工具包实验产生的攻击样本里，研究人员能很快地得到结果，这也变相提高了他们采集分析的水平。

根据RSA Security方面的说法，目前尚不清楚本轮对RIG漏洞利用套件相关子域名的清理工作能够在多大程度和规模上减轻恶意广告与垃圾邮件活动。自2016年以来，RIG已经凭借着各使用方对Angler乃至其他多家企业的大规模攻击而成为当时最为流行的漏洞利用套件之一。

事实上，攻击者完全可以在入侵当中添加新的子域名，用于将受害者重新定向至其它托管有漏洞利用套件的IP地址，这部分地址大部分集中在东欧地区。

考克斯指出，此次对RIG恶意套件的调查结果显示，攻击者主要采取向目标设备发送URL的入侵方式。RSA研究人员们得以将各域名映射至具体注册商，最终发现其中大部分注册源为RSA合作伙伴GoDaddy公司。此次与RIG恶意活动相关的网络子域名达四万个，IP地址则达到两千条。今年2月到3月期间已经共出现了四轮此类恶意活动，其中两轮采用了域名阴影手法，并利用有效载荷传播了Cerber勒索软件与Dreambot银行恶意软件。

RSA方面指出，GoDaddy已经成功在今年3月全部关停了四万个域名，而研究人员们亦帮助其构建起部分自动化功能，旨在帮助监控并检测任何类似的域名阴影活动。

考克斯表示，这是一种协调式网络钓鱼活动，攻击者利用钓鱼行为获取的信息充当GoDaddy的注册凭证。目前其它域名注册商也可能面临类似的挑战。攻击者们采取了相当巧妙的域名隐藏技巧，因为他们很清楚一旦有人注册了一条域名，其通常不会重新审视其原始DNS设置以及其它配置信息。很明显，攻击者们用到了自动化调整机制，因为每天都会看到数以百计的变化。

阴影域名的平均保存时间为24小时，而各相关DNS记录将在新的阴影域名创建完成前被全部清理。同时，该技术亦能够顺利绕过内容过滤机制的堵截。举个例子：

“在现代企业当中，如果我运行good.com网站且内容过滤代理认为一切正常，则如果有人在其下挂载起一个恶意子域，那么内容过滤机制将无法发现任何问题。”

考克斯称，犯罪分子非常擅长追踪安全技术的运作方式，他们相当熟悉我们对网络的保护方法，并利用各种创造性手段回避我们的保护机制。