官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
在企业面临的众多网络威胁中,基于域名的攻击占据重要地位。这类攻击针对域名或DNS基础设施展开,虽非新型威胁,但其危害性正快速演变升级。最新研究显示,2024年每174次DNS请求中就包含1次恶意请求,而前一年该比例仅为1/1000。攻击者只需成功一次,就能导致企业付出高昂的停机代价、重大数据泄露和/或信誉损失。
域名攻击的主要类型
域名攻击形式多样,许多手法相互关联并可组合使用。例如域名欺骗(domain spoofing)常与网站仿冒(website spoofing)同时出现,而域名劫持(domain hijacking)与域名影子攻击(domain shadowing)都利用DNS设置——前者针对已停用或无人认领的域名,后者则入侵活跃域名的设置。
常见攻击类型包括:
- 网站仿冒:伪造与真实网站高度相似的伪站点诱导用户
- 域名欺骗:URL模仿真实网站地址
- 邮件域名钓鱼:使用看似合法的发件域名发送欺诈邮件
- DNS劫持:将合法网站流量重定向至恶意站点
- 域名/子域名劫持:控制合法域名或废弃子域名
- 域名影子攻击:在被入侵的受信任域名下创建恶意子域名
- 搜索引擎投毒:通过AI生成内容使恶意域名获得搜索排名
网络罪犯常组合多种手法提升攻击可信度。例如包含虚假域名的钓鱼邮件可能内嵌仿冒网站链接,用于窃取受害者登录凭证。
AI加剧域名攻击威胁
域名攻击日益严峻的原因包括:随着EDR解决方案、新一代防火墙和高级云防护的普及,攻击者转向更易得手的域名和DNS基础设施目标——这些常被视为企业安全边界之外的资产,且多利用人为失误(如点击钓鱼邮件)得逞。
但AI才是推动威胁升级的主因。Darktrace研究显示,78%的受访组织正遭受AI驱动的网络威胁,其中AI钓鱼高居首位。AI带来的变化包括:
- 钓鱼、域名劫持等攻击更精巧、个性化和逼真
- 影子AI(Shadow AI)增长导致数据泄露风险上升
- 攻击频次超出安全团队响应能力
- 复合型攻击更难识别(如通过仿冒域名部署勒索软件)
- AI聊天机器人被诱导推荐虚假链接
网站仿冒技术升级
现代仿冒网站已摆脱拼写错误等低级特征,呈现高度专业化的伪造效果,具体表现为:
- AI生成仿冒站点:包含动态钓鱼页面及深度伪造(deepfake)音视频
- 虚假客服站点:部署AI聊天机器人套取用户信息
- 虚实跳转攻击:先诱导用户访问假网站,再跳转至真实站点
Memcyco公司首席运营官Gideon Hazam警告:"反向跳转尤其危险...将用户从钓鱼网站引回真实站点,既缩短受害者在假网站的停留时间避免起疑,又延长其受骗时长降低举报概率。"应对方案需采用主动防御策略,全网扫描语义相似的域名内容并阻断所有跳转行为。现代技术已能规模化比对可疑站点与真实站点,识别语言风格、设计元素等维度的异常。
邮件域名欺骗助推钓鱼攻击
人为失误仍是数据泄露主因,传统邮件钓鱼在窃取敏感信息方面依然高效。Cisco Talos报告显示,钓鱼攻击占比从2024年的25%飙升至2025年Q1的50%。邮件域名欺骗通过篡改邮件头使发件地址显示为可信域名(如[email protected]),最常被仿冒的品牌包括苹果、SHEIN、美国运通等。
AI技术使这类攻击更具迷惑性:生成的钓鱼邮件可包含深度伪造音视频。2024年下半年,语音钓鱼(vishing)攻击激增442%。更复杂的多阶段攻击如ClickFix会诱骗用户执行所谓"人工验证",实则暗中注入恶意代码。
虽然存在DKIM、DMARC等邮件认证协议,但约70%的钓鱼邮件能通过DMARC检查。这凸显员工培训的重要性——只有保持警惕的"人肉防火墙"才能识破社交工程陷阱。
域名与DNS劫持技术演进
通过操纵DNS记录重定向流量或劫持合法域名等传统手法正获得新突破:
- 缓存投毒:向缓存注入恶意数据
- 流量分发系统(TDS)攻击:通过复杂域名迷宫误导调查人员(82%的企业环境存在相关查询)
- DNS隧道:利用DNS协议绕过检测传输数据
- 子域名劫持:通过篡改DNS记录劫持废弃子域名
DNS流量因其可信特性成为攻击者绕过边界防护的捷径。Infoblox监测发现80万个域名中有7万个遭劫持,另有100万个存在风险。企业需采用防火墙、入侵检测、终端安全等多层防护体系。
被低估的域名欺骗威胁
域名欺骗作为网站仿冒的分支,包含多种子类型:
- 仿冒域名(如micros0ft.com)
- 同形异义字攻击(使用西里尔字母等相似字符)
- 域名抢注(利用拼写错误如gooogle.com)
AI聊天机器人加剧了这一威胁——Netcraft研究发现,AI对知名品牌URL的误答率高达34%。但防护措施如注册局锁定(Registry Lock)的全球采用率仅24%,类似域名注册维护更是普遍缺失:CSC报告显示全球2000强企业80%的近似域名被第三方持有,其中42%用于钓鱼攻击。
算法生成域名成新挑战
攻击者使用域名生成算法(DGA)自动创建大量域名实施攻击。CISA指出许多网络对快速通量(fast-flux)攻击防御薄弱——这种技术通过快速更换IP和DNS服务器逃避检测。
AI驱动的DGA每天可注册数千新域名,而安全团队需要数月分析处置。DNSFilter首席技术官TK Keanini解释:"新域名尚未进入黑名单时正是攻击黄金期,约1/3钓鱼网站在被发现几小时后就会消失。"Infoblox数据显示,过去一年1.01亿个新观察域名中25%存在恶意或可疑行为,其中55%由机器算法生成。
企业防护存在严重缺口
企业应对不足不仅因攻击规模与复杂性,更源于重视程度不够。CSC研究显示:
- 68%的全球2000强企业实施不足半数推荐防护措施
- 注册局锁定采用率仅24%
- DNSSEC采用率8.5%
- DNS冗余配置率不升反降(2020年19%→2025年17%)
随着AI技术普及,域名攻击正以惊人速度提升规模、速度和复杂程度。企业必须立即激活所有可用防御措施,因为风险曲线只会持续上行。
参考来源:
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)