通过改变域名和向HTTP主机字段加入非恶意主机名，恶意软件开发者将Web安全系统玩弄于鼓掌之间。这种新方法可确保恶意软件作者的C&C服务器不被安全系统封禁。

 

发现该技术的Cyren安全公司将其称为“幽灵主机”，涉及在僵尸网络通信的HTTP主机字段包含进未知主机名。由于这些主机名既有已注册的，也有未注册的，Web安全和URL过滤系统便会被其骗过。

使用该技术的恶意软件家族之一，还为域名www.djapp(.)info提供域名解析，导致多家安全公司将该域名标记为恶意，对该域名的HTTP请求无法通过这些公司保护下的网络。

不过，紧跟IP地址的域名解析，在对新感染僵尸网络发送的C&C指令进行分析时，Cyren研究人员发现了昭示着成功感染新主机的HTTP包。

而且，观察到的目的IP地址是已知不良服务器，而用于请求的HTTP主机字段却是完全不同的域。这些就是所谓“幽灵主机”。在该具体案例中，虚假域为“events.nzlvin.net”和“json.nzlvin.net。

鉴于只有初始解析的域被封禁，幽灵主机名依然存活，所以使用该技术的恶意软件作者能够确保与C&C服务器的通信不受影响。而且，僵尸网络拥有者可以操纵服务器根据收到的“编码”消息(利用不同的幽灵主机名)，做出不同的响应。

该C&CURL的IP地址通常不被封禁，这主要是因为服务器的内容可能合法和非法的两种都含有。如果整个服务器IP被封，用户就再也不能访问合法服务了。

上述案例中与不良IP关联的幽灵主机还有很多。其中一些是注册过的(与该恶意软件出现的日期一致)，更多的则没有注册。

但是，对虚假域名的检测率很低——意味着僵尸网络作者将继续使用“幽灵主机”技术。有效规避检测的技术，傻子恶软作者才会弃用。

幽灵主机是犯罪侵入技术复杂性的又一例证，也极好地证明了：网络犯罪骗术日渐高明的时代，安全厂商通常是保护公司企业的不二选择。

(责任编辑：安博涛)