大家好,我是 零日情報局。
本文首發於公眾號 零日情報局,微信ID:lingriqingbaoju。
疫情當前,川普試圖解除“居家隔離令”、重啟經濟,而這一決定遭到衛生專家和部分州長的嚴重反對。隨後,在保守派團體和槍支協會的煽動下,民眾爆發大規模抗議活動,開始持槍遊行,要求解除封鎖,儘快復工。
保守派的示威並未止步於此。就在抗議活動爆發前後,大量以“reopen(重新開放)”+“美國城市或州名”格式的域名集中湧現,其中多數域名可跳轉到保守派共和黨人的Facebook頁面、槍支協會網站,網站內容大多為煽動群眾組織遊行、向州長請願復產復工。
非常肯定的是,“reopen”域名激增背後,矛頭對準了這場全國性的抗議活動。今天零日要和大家說的就是,域名,這個虛擬“網路名片”,如今如何成為發起網路攻擊的新媒介。
“網路門牌”蘊藏巨大價值
域名威脅釀成新雷暴
為什麼越來越多攻擊者開始青睞“域名”為攻擊媒介?首先要從域名背後蘊藏的巨大價值說起。
4月初,微軟以170萬美金的高價買下“魔鬼域名”——corp.com,但並非是因為追求“靚號”,其最終目的是防止網路犯罪分子濫用。
此話怎講?因為技術測試表明,任何人只要擁有corp.com,就能訪問全球主要公司數十萬臺 Windows PC 中海量的密碼、電子郵件和其他敏感資料。這就是說,誰掌握了 corp.com域名,就等於扼住了大多數公司的資訊保安命脈。
儘管像“魔鬼域名”這樣的存在只是個例。但我們要警惕的是,域名的擁有者可將域名隨意指向任意網站,加上域名背後所彙集的巨大流量,對攻擊者來說都是一筆筆無形寶藏。
而在瞭解域名所具備的巨量價值後,接下來我們重點關注的就是,攻擊者如何利用域名發起攻擊?對此,零日將域名背後的安全威脅分為網路釣魚和輿論傳播兩個方向。
其一,偷天換日,利用域名發起網路釣魚,竊取機密資訊。這就是常說的“域名欺詐”,這種安全威脅隨著新頂級域名的出現,隱私政策和社交工程策略的變化,演變出新的攻擊形式,這種域名欺詐的攻擊形式表現有三:搭建釣魚網站、傳送釣魚郵件以及劫持誤植流量。
(1)搭建釣魚網站:攻擊者可以搭建一個山寨高仿網站銷售商品、進行交易,或是偽裝成企業網站竊取訪者隱私資料、登入憑證等核心資訊。
根據Proofpoint Digital Risk Protection 研究人員的發現,超過四分之三的企業發現了與自身品牌相似的高仿域名,例如,真實域名以 “.net”結尾,高仿域名則以 “.com”結尾。
此前在《繼Zoom爆雷後:世界頭號網路會議軟體WebEx,成為攻擊者的“真香”目標》一文中,零日曾詳細介紹了攻擊者是如何利用域名偽裝成官網、竊取使用者登入憑證的。
(2)傳送釣魚郵件:越來越多的攻擊者不再“守株待兔”,而是主動向目標傳送含有惡意域名的電子郵件,同樣,這些域名也是偽裝成真實品牌,騙取使用者點選釣魚連結,這種攻擊方式在商務郵件詐騙 (BEC) 中十分常見。
(3)劫持誤植流量:也就是通過 “誤植域名 (typo-squatting) ” 劫持誤植流量來獲取經濟利益。這裡提到的“誤植域名”,就是說使用者在輸入錯誤域名時卻看到了“真實”域名下的網站,比如appple.com、taobaoo.com。
新頂級域名 (TLD) 的興起導致了欺詐性域名註冊激增,許多域名擁有合法證書、掛鎖顯示,但這絕不意味著這些網站是真實可信的。域名欺詐帶來的後果,輕則個人或企業財產受到損失,重則核心資料被攻擊者竊取,從而引發更嚴重的安全威脅。
其二,煽風點火,藉助域名散播虛假訊息,操縱輿論。攻擊者利用“域名可隨意導向任意網站”的特性,將訪問者導向目標網站,巨大流量的彙整合為網路輿論、虛假訊息傳播的有利土壤。
在域名的導流下,攻擊者可利用其控制網路輿論、煽動群眾情緒,嚴重威脅到了社會穩定和資訊保安,而這正是今天零日要和大家分享的“reopen”域名激增事件。
“reopen”域名激增
全部關聯美國特定組織
如開頭新聞提到,國外安全網站KrebsOnSecurity近期關注到,新註冊的“reopen”主題域名,既包括了美國各州、城市名字,又覆蓋了一些概念化的資訊。
比如“ reopeningchurch.com ”或“ reopenamericanbusiness.com”,從域名錶面資訊來看,這些域名被利用傳遞著“復產復工”的核心資訊。
下面我們詳細看下幾個典型的“reopen”域名,和其所關聯的網站內容、背後組織:
儘管有許多域名並未正式啟動,仍處於休眠狀態。但是,大家可以很明顯看出,這些新註冊的“reopen”域名,大多都與保守派團體、共和黨組織、槍支權益組織,或者是各州正在進行的示威活動具有高關聯性。
追根溯源之下
關於“reopen”域名的幕後推測
在美國大選的關鍵時期,保守派組織全國性抗議活動,這些“reopen”域名或多或少都與保守派脫不了干係,但事實就只是我們看到的那樣簡單嗎?
也不盡然,經過進一步挖掘之後,關於“reopen”域名的始作俑者,除了本土的兩派之爭,極可能還有國家背景的黑客或組織推動暗潮,根據線索推測如下:
推測一:攻擊者身份具有俄羅斯背景
根據線索發現,在美國東部時間4月17日下午3:25-4:43之間,一個小時左右的時間就有50餘個“reopen”域名被註冊。其中有一個名為Michael Murphy的註冊人引起了注意,這個註冊人與明尼蘇達州和賓夕法尼亞州的槍支版權域名相關(reopenmn.com和reopenpa.com)。
繼續深挖該註冊人的各種資料,可知他在佛羅里達州經營一家網站設計公司,但其聯絡方式相關的各種社交媒體資料並不完整。再根據他的電話號碼進行Skype查詢會出現俄羅斯個人資料,名為валентинасынах(譯為“情人節兒子”)。
這個名為Michael Murphy的註冊人身份疑點,讓人懷疑這些域名的背後,有俄羅斯背景黑客或組織介入,或許將重蹈2016年美國大選覆轍。
推測二:攻擊目的在於干擾大選
2016年俄羅斯干預美國大選,除了大名鼎鼎的“郵件門”事件,挑撥兩黨矛盾、削弱民主黨實力外,俄羅斯還採取了輿論戰術。利用虛假的社交媒體賬戶,僱傭網路寫手或其他手段散步虛假訊息,從而使網路輿論倒向川普。
而本次利用域名煽動民眾情緒、組織抗議活動,擴大槍支權益的影響,可以說是在擾亂美國正常秩序的同時,將局面向有利於保守派的方向傾斜,持續激化兩黨矛盾。
前後兩次的輿論戰手法看起來如出一轍,只不過上一次干擾美國大選的媒介是社交媒體,而這一次換成了域名。
域名,這個網路攻擊的新媒介已經走進了大眾視線。我們當下要思考的是,以域名為攻擊跳板的安全威脅又該如何防範?
零日反思
多年來,眾多企業對與品牌相關的域名“緊追不捨”,重金、申訴等手段輪番上陣,只為換回一張網路名牌,也正是因為看到了這些域名背後蘊藏的安全隱患。這種經過偽飾的域名,是散播虛假訊息、網路釣魚的天然優勢,以後此類的網路攻擊勢必將日益遞增,有效防範措施才是當務之急。
零日情報局作品
微信公眾號:lingriqingbaoju
如需轉載,請後臺留言
歡迎分享朋友圈
參考資料:
[1] KrebsOnSecurity《誰在“重新開放”域名激增的背後?》
[2] 安全牛《欺詐性域名如何偽裝自己》