臭名昭著的钓鱼工具包Angler Exploit Kit最近更新了许多漏洞利用工具（含0day），以及一项名为“域名阴影(Domain Shadowing)”的新技术，将另一个知名恶意工具包BlackHole exploit kit完全击败，成为当前市面上最“先进”的钓鱼攻击装备。

Angler Exploit Kit采用的这新技术被称为“域名阴影(Domain Shadowing)”，该技术被认为是网络犯罪的新突破。域名阴影这个词在2011年首次出现，简单来说，其原理即窃取用户的域名账户去大量创建子域。

科普：什么是域名阴影技术?

域名阴影技术在最近一次钓鱼事件中扮演了重要的角色。黑客窃取了受害者（网站站长）的域名账户，创建了数以万计的子域名。然后利用子域名指向恶意网站，或者直接在这些域名绑定的服务器上挂恶意代码。

思科Talos研究团队的安全研究员–Nick Biasin，对这次钓鱼事件进行了分析，其表示在过去的三个月里，黑客利用Adobe Flash和Microsoft Silverlight漏洞为基础，通过域名阴影技术进行了大规模钓鱼攻击：

“域名阴影的手法，是利用失窃的正常域名账户，大量创建子域名，从而进行钓鱼攻击。这种恶意攻击手法非常有效，且难以遏止。因为你不知道黑客下一个会使用谁的账户，所以几乎没有办法去获悉下一个受害者。”

这样得来的子域会非常的多，生命周期短暂且域名随机分布，黑客一般并没有明显的套路。这让遏止这种犯罪变得愈加困难，研究也变得十分不易。然而稍微让人感到安慰的是，在该工具包实验产生的攻击样本里，研究人员能很快地得到结果，这也变相提高了他们采集分析的水平。

事件分析

在最近的那次钓鱼攻击中，黑客会不定期监测那些域名账户，源源不断地生成子域名进行网络钓鱼攻击。

还有一种新技术叫做Fast Flux，黑客利用它能改变绑定域名的IP地址，以逃避黑名单和安全工具的监测。与域名阴影技术不同的是，域名阴影技术会把子域轮流绑定给单个域名，或者将一批IP地址与子域进行轮换绑定，Fast Flux技术则能在短时间内，将单一域名或DNS记录与大量IP地址进行轮换绑定。

GoDaddy受影响最大

安全研究人员已经发现了约1万个这样的子域，其中大部分为全球目前最大的域名提供商GoDaddy的帐户。有安全研究人员却指出，这并不是普通的数据泄露所造成的。不管怎么说，GoDaddy占了网络上约三分之一的域名，危害还是相当大的。

攻击过程

这次钓鱼攻击分为多个步奏，每一步都使用了大量僵尸子域，分析如下：

1、用户在用户浏览web时展示恶意广告

2、恶意广告将受害者重定向到第一层子域，这是噩梦的开始

3、这一层的子域则会给用户提供有着Adobe Flash或者Microsoft Silverlight漏洞的登陆页

4、最后受害者到达的页面有时更替地比较频繁，不尽相同，那些页面里脚本在短时间内就运行起效

有时攻击者会利用同个IP与在同根域下的多个子域，进行轮换绑定;而有时候也会尝试使用同一账户下的不同域名与该IP进行轮替绑定。当然，也有可能不同账户的子域指向同一IP。由此看来，地址过滤不是办法，黑客完全可以定期轮换以实现监测逃逸。目前，现在安全研究人员已经发现了超过75个独立IP，它们都使用了这种利用恶意子域进行钓鱼攻击的手法。

包含了监测逃逸技术、0day漏洞、以及各类先进技术的Angler Exploit Kit工具包十分危险，而之前很受“欢迎”的BlackHole exploit kit工具包则随着其经营团队的首脑Paunch入狱在市面上销声匿迹了。希望各位小伙伴留意这些攻击方式。