漏洞利用套件的活动在2015年第三季度增长了75%

焊接
凯文·伍德 (知识共享BY或BY-SA)

根据最新版本的Infoblox DNS威胁指数,基于DNS活动,今年第三季度漏洞利用工具包活动与去年同期相比增长了75%,这是该空间专业化程度不断提高的迹象。

该指数衡量恶意DNS基础架构(包括漏洞攻击工具包)的创建。据IID报道,该公司提供了该指数的数据,四种钓鱼工具包-“角度”,“量级”,“中微子”和“核能”占该类别第三季度总活动的96%。

IID总裁兼首席技术官Rod Rasmussen认为,犯罪分子以三种方式使用DNS基础结构。

除了注册自己的恶意域名外,犯罪分子还将接管合法的Web域名注册,并在原本安全且知名的网站上创建恶意子域。

恶意域和恶意子域都指向罪犯自己的服务器,通常位于“防弹”托管提供商的位置。

Rasmussen说:“他们利用域名注册商的安全漏洞并添加所有这些主机名,并利用域名的良好声誉来作恶。”

公司可以阻止一些恶意域,也可以允许他们访问已知合法域的白名单。但是,如果域本身是一个已知的好域,而子域不好,则此安全技术将失败。

最后,犯罪分子将使用DNS查找请求(一种常见的企业合法流量)来窃取被盗数据。

Infoblox产品管理高级主管克雷格•桑德森说:“坏蛋知道,安全人员很可能不关注DNS流量。”

他补充说,DNS端口53端口几乎可以保证可用。 “如果我关闭了发出DNS请求的功能,那么您将无处可去。”

DNS请求通常不用于传输大文件,但犯罪分子要做的就是将其窃取的数据分成小块-如果需要的话,可以通过加密来增加保护。

桑德森说:“他们可以缓慢地滴灌数据。” “然后他们重新组装并解码。”

需要进行巧妙的分析才能确定特定邮件是合法的DNS请求,还是可能是恶意企图泄露窃取的信息。

Rasmussen说,专业化程度提高的另一个迹象是,犯罪分子正在使用最新的软件开发工具和方法。

他说:“以前,漏洞利用工具包将是临时维护的。” “一旦他们感到满意,他们就会获得有关新攻击的信息,并分批处理。”

他说,现在漏洞利用工具包在首次出现后的几天甚至几小时内便会更新为最新的漏洞,并且更新会自动发送给犯罪客户。

拉斯穆森说:“他们在营销,打包和更新代码方面做得更好。”

某些漏洞利用工具包甚至以软件即服务模型分发。为了防止当局关闭站点,每个客户都获得了托管服务的各自域。

买方使用漏洞利用工具包发送垃圾邮件,进行恶意广告活动,分发 勒索软件以及其他邪恶活动。

版权© 2015 IDG通讯,Inc.