資安業者Palo Alto Networks本周提醒,駭客愈來愈常利用影子網域(Domain Shadowing)來從事不法行動,卻只有少數業者偵測到這些惡意網域。

影子網域屬於DNS劫持的一種,駭客企圖入侵既有的網域,再於這些合法、已經營多年的網域上偷偷地建立子網域,再利用這些子網域進行網釣攻擊或作為殭屍網路的架構。在網釣攻擊的場景中,駭客可以影子網域作為網釣郵件的網域名稱,或是把它當作引導惡意流量的中介點,也能直接作為代管網釣活動的網站,此外,它也可在殭屍網路行動中作為與C&C通訊的代理網域。

為了得以充分且長期利用這些影子網域,駭客通常在成功入侵網域之後,依然努力維持該網域的正常運作,只是偷偷地建立眾多的子網域(影子網域)來從事非法行動。在Palo Alto Networks最近發現的兩個遭駭的網域中,其主要網站的IP分別來自美國與澳洲,但擁有奇怪名稱的子網域IP卻皆來自俄羅斯。

更值得注意的是,即使這些邪惡的影子網域愈來愈氾濫,被偵測到的比例卻很低。Palo Alto Networks利用機器學習技術,在今年4月至6月間偵測到了12,197個影子網域,但在VirusTotal上卻只有200個被偵測到是惡意的,顯示其偵測率低於2%。

熱門新聞

Advertisement