影子網域愈來愈氾濫且並不容易偵測

資安業者Palo Alto Networks本周提醒，駭客愈來愈常利用影子網域（Domain Shadowing）來從事不法行動，卻只有少數業者偵測到這些惡意網域。

影子網域屬於DNS劫持的一種，駭客企圖入侵既有的網域，再於這些合法、已經營多年的網域上偷偷地建立子網域，再利用這些子網域進行網釣攻擊或作為殭屍網路的架構。在網釣攻擊的場景中，駭客可以影子網域作為網釣郵件的網域名稱，或是把它當作引導惡意流量的中介點，也能直接作為代管網釣活動的網站，此外，它也可在殭屍網路行動中作為與C&C通訊的代理網域。

為了得以充分且長期利用這些影子網域，駭客通常在成功入侵網域之後，依然努力維持該網域的正常運作，只是偷偷地建立眾多的子網域（影子網域）來從事非法行動。在Palo Alto Networks最近發現的兩個遭駭的網域中，其主要網站的IP分別來自美國與澳洲，但擁有奇怪名稱的子網域IP卻皆來自俄羅斯。

更值得注意的是，即使這些邪惡的影子網域愈來愈氾濫，被偵測到的比例卻很低。Palo Alto Networks利用機器學習技術，在今年4月至6月間偵測到了12,197個影子網域，但在VirusTotal上卻只有200個被偵測到是惡意的，顯示其偵測率低於2%。