当攻击者采用新型逃避技术——“域遮蔽” 企业该如何应对？

据报道，Angler利用工具采用了一种新的逃避技术——“域遮蔽”。这是种什么技术？在恶意攻击中如何使用？如何防御利用其造成的攻击呢？

利用工具需要时刻采取新的技术以与其他的利用工具抗衡并保持盈利。攻击者如果无法从现有工具包获取利润，他要么会改善当前的装备，要么改用新的工具。提高逃避技术也将对攻击者有所帮助。

根据思科Talos研究人员所称，“域遮蔽”（domain shadowing）技术是指收集域账户认证，为了在不让实际拥有者知晓的情况下悄悄向恶意服务器创建子域。这是快速流量命名攻击的一个变种。

在利用域遮蔽技术的攻击中，攻击者将登录到域名注册网站，建立一个全新的注册到一台新的服务器IP地址的子域名。通过注册很多子域名及IP地址，攻击者能够逃避黑名单技术，不过，其无法绕过基于信任度的过滤技术。

域遮蔽技术可以用来为恶意软件嵌入DNS名，用于从一个僵尸主机上下载恶意软件，或是命令一台受感染系统将窃取的数据发送到哪个地方。

企业防御域遮蔽技术可谓困难重重，因为域遮蔽使用的一些技术同样为一些托管服务公司在使用着。

当然，企业仍旧可以采取一些措施的。比如说，对IP地址进行基于信任度的黑名单检查，来看其是否已经解决掉多个名称或IP地址，然后执行启发式行为分析，以识别哪些潜在的恶意网络连接需要再进一步进行调查。

我们一直都在努力坚持原创.......请不要一声不吭，就悄悄拿走。

我原创，你原创，我们的内容世界才会更加精彩！

【所有原创内容版权均属TechTarget，欢迎大家转发分享。但未经授权，严禁任何媒体（平面媒体、网络媒体、自媒体等）以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget

官方微博

TechTarget中国

Nick Lewis是 Internet2项目经理，曾任Saint Louis大学信息安全官。

TechTarget中国编辑。专注报道企业级安全、网络领域的技术更迭和趋势变革，负责安全网站与网络网站的内容规划、组稿、原创和编辑。