红蓝对抗之域名伪装攻击手段实例分析
前言
威胁情报中心已经陆续监测捕获了一些红蓝对抗行动相关的样本,猎影实验室对这些样本进行了分析和关联,并对之进行了一定的总结,本文就域名方面在红蓝对抗中的应用展开叙述。
域名障眼法
域名的使用在攻击过程中也起到重要的作用,在高级攻击和普通垃圾电子邮件投递中都会采用一些模仿的手法,通过表面上伪装成指定域名或同类域名,与之相似,达到迷惑作用,轻易不能识别。
根据目标选择针对性域名
域名模仿的对象可以根据目标进行选择,可针对不同行业如金融机构、电子商务、社交媒体、政企单位等目标进行处理,
高级攻击针对国内特定目标使用的回连域名也有许多对单位、机构、网站的模仿案例,如
| 示例域名 | 模仿对象 |
| moe-cn[.]org | 政府网站 |
| nhc-gov[.]com | 政府网站 |
| chinadaily-news[.]com | 媒体网站 |
| message-cmbchina[.]com | 金融网站 |
| xinhuanet-news[.]com | 媒体网站 |
| 360totalsecurities[.]com | 科技公司 |
| sastind-cn[.]org | 政府网站 |
| ifenngnews[.]com | 媒体网站 |
| 163mailservice[.]com | 科技公司 |
| kingsoftcdn[.]com | 科技公司 |
| baidu-search[.]net | 科技公司 |
| shangweidesign[.]com | 设计公司 |
模仿常见域名
当然其中也不乏较为通用的域名模仿对象,如微软、谷歌、苹果等知名公司,office、flash等通用知名软件等,以下简单对在高级攻击中出现的模仿这类主流域名的回连域名使用情况进行了统计,
| 关键词 | 统计 | 示例 |
| office | 108+ | officeupdater[.]org,office365-us[.]org, libre-office[.]site |
| flash | 32+ | update-flashs[.]com, adobe-flash[.]us, adobe-flash-updates.org |
| adobe | 44+ | plugin-adobe[.]com, adobeproduct[.]com, adobeupdates[.]com, |
| microsoft | 156+ | microsofts[.]org, microsoft-ds[.]com, microsoftupdated[.]com |
| 96+ | support-google[.]co, google-setting[.]com, google-update[.]com | |
| apple | 120+ | appleid.com[.]co, apple-iclouds[.]net, accounts-apple[.]com |
模仿形式并不拘泥于完整的词汇,做一些字母数字替换、位置替换、重复字母、增加或减少个别字符等形式都能起到效果,如g00gle-com[.]cf、login-yah00-com[.]tk等。
基础设施域名模仿
如对基础网络设施DNS、CDN、VPN等的模仿
| 示例域名 | 注释 |
| cdn-dl[.]cn | 响尾蛇组织模仿cdn形式的C2 |
| dnsupdate[.]info | 火焰APT使用的模仿dns的域名 |
| tatavpnservices[.]com | OilRig组织使用的模仿Tata VPN的域名 |
动态域名、子域名、多级域名
攻击中也常用到动态域名,那么需要在二级或多级域名上花点功夫,
如us01.ddns[.]net模仿地域,google-drive.ddns[.]net模仿主流应用域名。
红蓝对抗中的域名应用案例
我们观察到了一些有趣的域名使用,
如d1ngding.** 似为模仿钉钉,huawei******.com模仿华为,
再如fla**.**意在模仿flash,
还有不得不提的是对阿里云OSS、alicdn的有趣使用,阿里云对象存储同样可以进行下载访问或可搭建网站。我们观察到样本会进行远程访问下载,目标网站指向aliyuncs的网站,如microsoft*****.oss-cn-beijing.aliyuncs.com,
这种方式非常隐蔽,那么同样这种形式可能还可以在其它云上使用。
如何防御
安恒APT预警平台,安恒APT预警平台能够发现已知或未知的威胁,APT预警平台 的实时监控能力能够捕获并分析邮件附件投递文档或程序的威胁性,并能够对邮件投递,漏洞利用、安装植入、回连控制等各个阶段做强有力的监测。结合安恒威胁情报系统,可将国内外的威胁数据进行汇总,并分析整个攻击演进和联合预警。
安恒威胁情报中心,拥有专业威胁情报分析团队,分析安全威胁数据、跟踪APT事件,以及多源情报数据的分析,形成了高价值的威胁情况库。分析的情报包括恶意文件、僵尸网络、C2、扫描IP、黑产IP、挖矿等60余类情报数据等。通过提供威胁情报数据与服务,可为用户提升区域安全态势感知、未知威胁检测、威胁溯源分析、主动防御等场景的智能化程度;依托该核心数据能力,提供威胁情报数据,威胁情报检测等专业能力。
