Exploit kits må ta i bruk nye teknikker for å både konkurrere med andre utnytte kits og være lønnsomme. Hvis en angriper ikke kan tjene på en utnytte kit, vil han trenge å enten endre den nåværende kit eller bytte til en ny. Forbedre unnvikelsesmanøvrer hjelper også angripere være mer vellykket
Ifølge Cisco Talos forskere, er " domene skygge;. Prosessen med å samle domenekontodetaljene for å stille opprette underdomener pekte på ondsinnede servere uten tipping av den faktiske eieren . " Det er en variant av et fast-flux domenenavn angrepet.
I et angrep som inkluderer domene skygging, vil en angriper logge inn på domenet register hjemmeside for å sette opp en ny underdomene registrert til en ny server IP-adresse. Ved å registrere mange underdomene navn og IP-adresser, angriperne er i stand til å unngå svartelister, men det tillater ikke angripere å omgå omdømmebaserte filtre.
Domain skygging kan deretter brukes til å bygge inn en DNS navn i malware, som kan brukes til å laste ned malware fra en kompromittert webhost eller diktere hvor en kompromittert system bør sende stjålne data.
Enterprise forsvar mot domene skygging er nervøs med problemer siden mange av de samme teknikkene som brukes av domene skygging er også brukes legitimt av web hosting selskaper.
Det er noen skritt bedrifter kan ta, men. For eksempel kan IP-adresser sjekkes mot et rykte basert svarteliste for å se om det løser til flere navn eller IP-adresser, og deretter heuristisk atferdsanalyse kan brukes til å identifisere hvilke potensielt skadelig nettverkstilkoblinger kreve ytterligere undersøkelser.