过期域名成恶意活动的“温床”

日期: 2016-10-20 作者:Michael Heller翻译:邹铮 来源:TechTarget中国 英文

专家表示,购买过期域名主要用于推广目的,但研究人员指出,这些域名和被弃用的SDK给攻击者提供了更多机会来攻击手机用户。

Palo Alto Networks公司研究人员Zhi Xu和Tongbo Luo在病毒公报国际会议上谈到了这种风险。

根据这两位研究人员表示,很多第三方应用软件开发工具包(SDK)被遗弃,而这些应用仍然可供用户使用。这些应用试图联系过期域名的命令和控制服务器,可能会被用于恶意活动。

“数百家这样的SDK公司都是昙花一现的初创公司,但很多这些初创公司倒闭后,没有人来维护这个基础设施,”Xu在会议中称,“如果没有维护,包含这些SDK的应用会尝试与主服务器通信以获得指示,但没有任何响应。当域名过期时,攻击者可接管这些域名和基础设施,并发送恶意指令和内容。”

这两位研究人员将这些过期的域名称为僵尸,他们研究了使用575000独特根域名的280万Android应用,其中65000个被认为是僵尸,33000个过期域名可供购买。如果这些过期域名被恶意活动者购买,在某些情况下,原始通信信道将被SDK的相同管理特权重新激活。

RiskIQ公司威胁和安全研究主管James Pleger称他每天都看到这种类型的接管。

“大多数时候,这些域名购买并不是恶意的,而是用于推广。然而,确实有些攻击者在购买过期域名将恶意代码注入到网页中,”Pleger称,“从移动设备的角度来看,这可能不是攻击者采取的第一步,但鉴于攻击者非常熟练,这种情况非常可能出现。除了了解攻击者拥有的资源外,了解企业的攻击面也是阻止这种类型攻击的关键所在。”

反恶意软件公司Bitdefender公司高级电子威胁研究人员Liviu Arsene称,这种攻击的风险可能相对较低。

“虽然遗弃的应用和域名确实可能带来风险,但这些应用可能并没有很多用户在使用,”Arsene称,“因此,恶意攻击者利用这些域名来感染大量用户的机会相对较小。”

Pleger称,安全公司可扫描被滥用的域名,这些域名利用受信任的品牌发送流量到其他网站、窃取敏感数据、分发恶意软件、销售假冒商品等。

“通过搜索Whols注册和被动DNS(域名系统)数据,你可识别第三方所有的域名,然后智能地区分公司所有和恶意域名及子域,从而检测所有恶意重定向和其他非法行为,”Pleger称,“这可提供所需的背景信息来确定攻击者可能如何利用每个域名以及这对相关企业构成的风险。”

Arsene指出,发现有风险的过期域名可能更为困难,这取决于通过该域名执行的恶意活动。

“例如,当这些应用开始将用户的浏览器重定向到已知的传播恶意软件的网站时,安全解决方案将警告用户潜在的威胁,”Arsene称,“但如果命令控制服务器被用于简单地通过这些应用从受害者处收集信息,这又是另一回事。”

在9月份,苹果公司宣布了一项新政策,即从其iOS应用商店移除被弃用的应用,以确保应用的功能性以及保持更新。目前尚不清楚是否是过期域名的风险让苹果公司做出这个决定,苹果也没有对此作出回应。谷歌对其移除被弃用应用的政策也没有作出回应。

但Pleger和Arsene都认为这一政策是缓解风险的很好的一步。

“无人维护的软件不仅给用户带来安全风险,也会给应用商店带来影响,”Pleger称,“鉴于这一点,当应用没有更新,在一段时间后应该移除应用,而当应用存在重大漏洞时,也应考虑进行移除。”

Arsene指出这是一个好的开始,但并不能完全阻止恶意活动。

“移除遗弃的应用是防止恶意活动的第一步,但是,企业还应该审查应用是否存在恶意软件,并检查广告软件SDK,”Arsene称,“这并不是我们第一次看到应用充满高度攻击性的广告或者潜在的恶意软件。尽管广告软件SDK可为应用开发人员带来收入,但这种SDK的目的是便于开发人员将其应用连接到该服务,这意味着发送给用户的内容通常不会经过审查。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

邹铮
邹铮

相关推荐