域遮蔽技术是一种收集域账户认证的方法,攻击者利用它在不被发现的情况下创建恶意子域。这种技术允许攻击者注册大量子域名和IP地址来逃避黑名单技术。企业面临挑战,因为这种技术也常被合法服务使用。防御措施包括基于信任度的黑名单检查和启发式行为分析。
利用工具需要时刻采取新的技术以与其他的利用工具抗衡并保持盈利。攻击者如果无法从现有工具包获取利润,他要么会改善当前的装备,要么改用新的工具。提高逃避技术也将对攻击者有所帮助。
根据思科Talos研究人员所称,“域遮蔽”(domain shadowing)技术是指收集域账户认证,为了在不让实际拥有者知晓的情况下悄悄向恶意服务器创建子域。这是快速流量命名攻击的一个变种。
在利用域遮蔽技术的攻击中,攻击者将登录到域名注册网站,建立一个全新的注册到一台新的服务器IP地址的子域名。通过注册很多子域名及IP地址,攻击者能够逃避黑名单技术,不过,其无法绕过基于信任度的过滤技术。
域遮蔽技术可以用来为恶意软件嵌入DNS名,用于从一个僵尸主机上下载恶意软件,或是命令一台受感染系统将窃取的数据发送到哪个地方。
企业防御域遮蔽技术可谓困难重重,因为域遮蔽使用的一些技术同样为一些托管服务公司在使用着。
当然,企业仍旧可以采取一些措施的。比如说,对IP地址进行基于信任度的黑名单检查,来看其是否已经解决掉多个名称或IP地址,然后执行启发式行为分析,以识别哪些潜在的恶意网络连接需要再进一步进行调查。
原文发布时间为:2015-09-29
本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
