近萬子域名被盜用！黑客借 GoDaddy 進行 Domain Shadowing　

根據 Cisco 一個安全研究組最近的報告指出，有接近一萬個 subdomain被攻擊者盜用作惡意用途，受影響用戶全部來自最大域名註冊商之一 GoDaddy。黑客通過利用 Domain Shadowing 手法進行攻擊。

此攻擊方式首見於 2011 年，直至最近黑市推出了 Angler Exploit Kit 攻擊工具而大受黑客歡迎，工具似乎是以 2011 年的攻擊模式為原型而製作，估計類似的攻擊工具未來會陸續出現。現時有很多黑客組織以銷售攻擊工具圖利，這不法的市場價值已經是一門新興經濟，即使執法部門成功取締了一個仍然會有其他新的地下市場出現，而黑客的工具也會不斷改進。

Domain Shadowing 是透過登入 GoDaddy 用戶的帳號，開設大量子域名；至於如何登入用户於 GoDaddy 的帳户？最簡單的方法就是通過於系統植入 Keylogger 從而偷取用户於鍵盤上所輸入的文字，再通過工具自動試行所紀錄的 Key Log，從而成功登入受害者電郵又或者是 GoDaddy 帳户之中；而由於新建子域名並不影響用戶的域名正常使用情況，所以用户是很難察覺到的；而黑客就可以利用這些「乾淨」的子域名建立很多釣魚網站以便進行網絡詐騙。

為何這次受害者全部都來自 GoDaddy？

暫時沒有足夠證據推測，而 GoDaddy 作為互聯網世界單一最大域名註冊商，接近三分一域名帳戶在 GoDaddy 之下管理，因此是黑客一直垂涎的目標。目前分析出近萬個惡意子域名是來自數百個帳戶，當中大部份域名都是最近三個月才註冊，而且攻擊活躍程度未有減少，受影響帳戶一直上升；不過就事件表面看來與 GoDaddy 無關，反而很大機會是因為用户本身的電腦或電郵已被入侵所導致。

黑客新建的子域名多利用字典常用字及隨機數字組合而成，而主要用途則是作為 Redirect 或直接建立惡意網頁及釣魚網站的登陸頁；為免被安全廠商偵測，因此這些網頁的撤換速度非常之快，不止輪流轉移子域名，連主機 IP 也不時轉換，最終目的是令一般網站黑名單機制失效；由於安全系統需要時間偵測及將之加入黑名單，因此單以信任制或黑名單技術已不能完全提供足夠的防禦；反而應通過配合行為檢測、Sandbox 等技術，於用户開啟頁面前先加以分析，這樣才可「較為」有效預防黑客的惡意活動。