上期回顾：伪装和钓鱼是APT攻击常态化的手段，通过鱼叉、水坑等多种方式进行应用，在已知APT攻击中许多情形下都是通过鱼叉式钓鱼邮件完成的。其中猎影实验室对这些样本进行了分析和关联，就伪装和钓鱼在红蓝对抗中的应用展开叙述。

具体详细内容点击查看：网络安全红蓝对抗——「钓鱼伪装」攻击手段实例分析

新形势下，红蓝对抗变成了关键信息系统网络安全保护工作的重要组成部分，以实际运行的信息系统为保护目标，最大限度地模拟真实的网络攻击，以此来检验信息系统的实际安全性和运维保障的实际有效性。

本期为第三期，猎影实验室将就域名方面在红蓝对抗中的应用展开叙述。

域名障眼法

域名的使用在攻击过程中也起到重要的作用，在高级攻击和普通垃圾电子邮件投递中都会采用一些模仿的手法，通过表面上伪装成指定域名或同类域名，与之相似，达到迷惑作用，轻易不能识别。

1.根据目标选择针对性域名

域名模仿的对象可以根据目标进行选择，可针对不同行业如金融机构、电子商务、社交媒体、政企单位等目标进行处理。

高级攻击针对国内特定目标使用的回连域名也有许多对单位、机构、网站的模仿案例，如：

2.模仿常见域名

当然其中也不乏较为通用的域名模仿对象，如微软、谷歌、苹果等知名公司，office、flash等通用知名软件等，以下简单对在高级攻击中出现的模仿这类主流域名的回连域名使用情况进行了统计：

模仿形式并不拘泥于完整的词汇，做一些字母数字替换、位置替换、重复字母、增加或减少个别字符等形式都能起到效果，如g00gle-com[.]cf、login-yah00-com[.]tk等。

3.基础设施域名模仿

如对基础网络设施DNS、CDN、VPN等模仿。

4.动态域名、子域名、多级域名

攻击中也常用到动态域名，那么需要在二级或多级域名上花点功夫，如us01.ddns[.]net模仿地域，google-drive.ddns[.]net模仿主流应用域名。

红蓝对抗中的域名应用案例

我们观察到了一些有趣的域名使用，如d1ngding.**似为模仿钉钉，huawei******.com似为模仿华为，fla**.**意在模仿flash。

还有不得不提的是对阿里云OSS、alicdn的有趣使用，阿里云对象存储同样可以进行下载访问或可搭建网站。我们观察到样本会进行远程访问下载，目标网站指向aliyuncs的网站，如microsoft*****.oss-cn-beijing.aliyuncs.com。

这种方式非常隐蔽，那么同样这种形式可能还可以在其它云上使用。

如何防御

安恒威胁情报中心，拥有专业威胁情报分析团队，分析安全威胁数据、跟踪APT事件，以及多源情报数据的分析，形成了高价值的威胁情况库。分析的情报包括恶意文件、僵尸网络、C2、扫描IP、黑产IP、挖矿等60余类情报数据等。通过提供威胁情报数据与服务，可为用户提升区域安全态势感知、未知威胁检测、威胁溯源分析、主动防御等场景的智能化程度；依托该核心数据能力，提供威胁情报数据，威胁情报检测等专业能力。

安恒APT预警平台，安恒APT预警平台能够发现已知或未知的威胁，APT预警平台的实时监控能力能够捕获并分析邮件附件投递文档或程序的威胁性，并能够对邮件投递，漏洞利用、安装植入、回连控制等各个阶段做强有力的监测。结合安恒威胁情报系统，可将国内外的威胁数据进行汇总，并分析整个攻击演进和联合预警。

下期预告

《红蓝对抗——CobaltStrike应用攻击手段实例分析》