Infoblox
专门提供IT自动化与安全服务的Infoblox在本周揭露了专门用来支援网路犯罪行动的短网址服务,Infoblox将此一服务供应商命名为Prolific Puma,指出该服务已存在至少4年之久,长期注册大量的网域名称来提供短网址服务,以协助网路犯罪份子躲避侦测,以用来执行网路钓鱼行动与诈骗,或是用来递送恶意程式。
Infoblox声称,网路犯罪是全球第三大的经济活动,在今年的经济价值高达8兆美元,而Prolific Puma即是该供应链中的一份子。
短网址服务可用来缩短网址,同时可指向原本的网页,一来方便使用者分享,二来也可符合某些平台的网址长度限制。由于它隐藏了真实的网址,也成为骇客利用的工具,事实上,坊间有为数不少的免费短网址工具,部分因遭到骇客滥用而声名狼藉的短网址服务则会直接遭到组织封锁,像是t.co或bit.ly等,这也使得骇客转向Prolific Puma等付费的短网址服务。
研究人员指出,Prolific Puma并非他们所发现的唯一非法短网址服务,却是其中最大也最活跃的,而且迄今没有在该服务上发现任何合法内容。
根据Infoblox的调查,Prolific Puma注册了大量的网址来提供短网址服务,光是自去年4月迄今,便注册了3.5万个至7.5万个的不重复网域名称,从.us、.link、.info、.com、.cc到.me等。从今年5月以来,更主攻仅允许美国人或美国公司才能注册的.us,已注册数千个.us的网域名称,呼应了《Krebs on Security》近日宣称.us已成为最常受到骇客滥用的国家顶级网域名称的报导。
借由Prolific Puma短网址服务所连结的最终页面经常是网路钓鱼或诈骗网站,但有时是直接连至恶意网站,有时是透过多层的重新定向,也有些会连至其它服务所产生的短网址,还有的会连至CAPTCHA来躲避侦测,或是透过手机简讯来传递,Infoblox从这些情景来判断Prolific Puma的客户非常多样化。
此外,在注册了新网址之后,Prolific Puma通常会静置它们一阵子,因为绝大多数的网钓攻击都是利用新注册的网址,造成许多安全系统直接封锁新网址,静置几周后的网址才能躲过这些系统的侦测。
Infoblox已透过GitHub公布了Prolific Puma所使用的网域名称供外界参考。