新闻详情

网络安全新威胁:子域劫持攻击频发,企业需加强防范

37
发表时间:2024-03-28 16:15

前言


在当今数字时代,网络安全的重要性不言而喻。然而,即便是知名品牌和机构,也可能在不经意间成为网络攻击的受害者。


图片



也许你还不知道,但你的网站可以被他人劫持!通过利用DNS区域委派配置上出现的疏忽,黑客可以控制你网站的子域。这种攻击被称为子域劫持(Subdomain Hijacking)。


近日,知名网络安全研究机构Guardio Labs发现了一起严重的子域劫持事件,已损害了来自知名品牌和机构的8000多个域名和1.3万个子域名,包括微软(MSN)、VMware、McAfee、《经济学人》、康奈尔大学、哥伦比亚广播公司(CBS)、漫威、eBay等。这种被称为“SubdoMailing”的恶意活动利用与这些域相关的信任,每天传播数以百万计的垃圾邮件和恶意网络钓鱼电子邮件,狡猾地利用其可信度和被盗资源来绕过安全措施。


在分析超过600万份DNS记录后,发现该恶意活动自 2022 年以来一直很活跃,许多企业容易遭受子域劫持,21%的DNS记录指向不解析的内容。



什么是子域名劫持


在子域劫持中,攻击者会接管与合法根域名关联的子域名,使其变成各种恶意活动的温床。被劫持的子域名可以用来发起网络钓鱼攻击,传播不适当内容,贩卖非法物品,或者散布勒索软件。


通常情况下,未使用的子域名会长期处于休眠状态。更危险的是,这些子域名存在悬空(即指向不存在内容)的DNS记录,从而为子域劫持提供了可乘之机。一旦攻击者控制了这些子域名,他们就可能实施多种恶意行为而不被察觉!


当你运营一个包含多个子域名的域名时,很容易忽视安全问题而给攻击者留下“后门”。无论你是企业还是小企业,若未能确保子域名的安全,都可能导致诸如SubdoMailing之类的事件发生,或者是其他形式的子域名滥用。



SubdoMailing攻击如何运作


文章中指出,他们发现来自知名品牌的数千个看似合法子域名产生的可疑邮件流量,这些邮件利用紧急性诱导用户点击其中的危险链接。一旦用户点击,就会被重定向到一系列有害网站。这些网站的危害程度各异,从侵入性的广告到更加危险的旨在窃取用户的敏感信息的钓鱼网站。攻击者通过劫持这些知名品牌闲置或疏于管理的子域名,为其恶意活动制造了伪装,使得受害者更容易落入圈套。


图片

SubdoMailing示例


上述例子是Guardio Labs发现的一个典型的SubdoMailing案例。攻击者利用了一个已被攻陷的Cash App子域名向数百万用户发送电子邮件。邮件中显示了一条警告信息,要求用户确认其Cash App账户中的待处理资金。邮件中包含了多个潜在的恶意重定向链接。


精心设计的恶意电子邮件附件和链接往往难以被用户忽视,特别是当它们附着在一条要求立即处理的警告消息上时。在这种情况下,用户很可能会出于担心而点击链接,从而成为网络攻击的受害者。攻击者就是利用这种心理战术,引导用户点击含有恶意内容的链接,从而实现盗取用户信息、传播恶意软件或其他形式的网络犯罪目的。因此,提高用户对这类诈骗邮件的识别能力,并加强对子域名安全的管理和监控,是防范此类SubdoMailing攻击的关键措施之一。



SubdoMailing攻击为何如此危险


Guardio Labs指出,SubdoMailing攻击采用了极为复杂精妙的策略来操纵一些知名品牌的合法子域名。这些攻击极具隐匿性,难以被发现。


具体包含以下策略:

  • 模仿具有良好声誉的知名品牌,利用用户的信任;

  • 大规模操作,操控超过8000个域名,且该数字仍在不断增加;

  • 能够绕过垃圾邮件过滤器,难以被自动拦截;

  • 通过精心制作基于图片的可信消息,规避邮件内容过滤器;

  • 攻击者根据设备类型和地理位置进行分析,发动更具针对性的攻击;

  • 发送的恶意邮件甚至通过了SPF、DKIM和DMARC等邮件身份验证检查,进一步增强了其欺骗性。

图片


SubdoMailing还可以绕过邮件认证检查,以Guardio Labs调查的一个实例为例,他们在msn.com的特定子域名下发现了多封钓鱼邮件。


在仔细检查这些恶意邮件时,Guardio Labs发现这些邮件是从乌克兰基辅的一台服务器发出的。理论上,在进行SPF检查时,这应该会被标记为可疑,除非该服务器的IP地址已被授权。经过核查,发现msn.com的一个子域名确实已经授权了这个可疑的IP地址。


这可能是由于以下原因之一:

  • 内部威胁:可能有MSN员工故意授权该IP地址发送钓鱼邮件。

  • 人为错误:由于拼写错误,无意中授权了该服务器。

  • 更高级别的DNS操纵:外部威胁可能已劫持了MSN的子域名,并通过它授权了该服务器。

图片


进一步审查msn.com子域名的SPF记录时,Guardio Labs专家发现一个包含17826个嵌套IP地址的复杂结构,这些地址都被授权代表该域名发送邮件。SPF记录的复杂性暗示了攻击者针对操纵认证过滤器采取了高度可疑但精心设计的方法。更重要的是,调查结果显示,这个MSN子域名通过CNAME DNS记录指向了另一个域名。因此,一旦攻击者购买了那个域名,就能够劫持MSN的子域名。

图片

在SubdoMailing攻击中,攻击者利用了长期废弃不用的子域名。Guardio Labs通过互联网档案挖掘发现,该msn.com子域名在22年前曾是活跃的,然而之后经历了超过二十年的弃置状态,直至最近被重新利用。


图片


具体情况如下:

  • 攻击者购买了与该子域名关联的废弃域名,由于域名链路在历经22年后的今天仍然有效,他们得以接管该域名。

  • 攻击者取得域名控制权后,自由地对其进行操控。他们在该子域名的SPF记录中加入了自己控制的服务器,这样就能以该子域名的名义发送经过验证的钓鱼邮件。

  • 利用这次机会,攻击者伪装成msn.com的合法发件人,发送了数百万封欺诈邮件。

图片


  • 在SubdoMailing案例中,被劫持子域名的SPF记录中托管了多个废弃域名。攻击者进一步收购了这些域名,以授权他们所控制的SMTP服务器。按照SPF策略的性质,子域名最终会将所有这些由攻击者控制的服务器视为合法的邮件发送源。

图片


我们使用SPF的主要目的是为了授权合法的邮件发送者,这对于企业使用第三方邮件服务商发送邮件时尤为重要,可以避免欺诈来源冒充域名发送邮件。然而,在这个经典的SPF记录操纵案例中,攻击者恰恰滥用了SPF验证邮件的优势,将其用于授权恶意邮件发送者。这意味着原本用于保护邮件安全的SPF机制,在这种情况下反而被用于增强攻击者的伪装性和欺骗性。



预防子域劫持攻击,企业可以做些什么?



针对SubdoMailing这样的高级子域名劫持攻击,企业应采取积极主动的预防策略。以下是一些应对措施


1. 监控所有CNAME记录

确保您的CNAME记录仅链接至您直接控制或受信任方控制的域名。此外,务必从DNS记录中移除所有未使用的子域名。这一步骤有助于消除不必要的安全隐患,防止攻击者利用废弃或不受控的子域名和CNAME记录进行恶意活动,如SubdoMailing攻击。定期进行子域名和CNAME记录的清理与审计是维持网络安全的重要环节,有助于及时发现并修复可能存在的漏洞,确保您的网络资源不会被用于非法或恶意目的。同时,采用自动化工具进行监控,可以更有效地发现并解决潜在问题,确保您的在线资产得到充分保护。

图片


2. 移除宽松的SPF设置

请避免配置允许所有发件人(+all)的设置,并谨慎使用SoftFail(~all)或Neutral(?all)。对于不在您控制范围内的IP地址段的包含,需特别留意并加以小心。


正确的做法是:

  • 限制SPF记录中允许发送邮件的服务器列表,仅包含您控制的、合法的邮件服务器IP地址或域名。

  • 不要在SPF记录中使用+all,因为它允许任何人声称他们的邮件源自您的域名。

  • 对于SoftFail (~all) 和 Neutral (?all) 设置,尽量避免使用,因为它们并不能有效阻止邮件伪造。SoftFail虽然会标记邮件为可疑,但邮件仍会被传递;而Neutral则不表达任何意见,邮件同样会被接收。

  • 如果您的SPF记录中有包含其他域名或IP地址范围,请确保这些来源都是可信的,且在您的控制之下。若发现不再使用的外部IP或域名,请及时从SPF记录中移除。

图片


总之,要确保您的SPF策略严谨且准确反映您的邮件发送环境,这样才能有效防止未经授权的邮件发送和SubdoMailing攻击。


图片


3. 监控您的SPF策略

  • 请定期审核主域名及其所有子域名的SPF记录,确保所有批准的域名和IP地址都在您或可信赖方的控制之下。这包括:

  • 定期检查SPF记录的准确性,排除不再使用的服务器或IP地址。

  • 确保所有包含在SPF记录中的域名和IP范围均与您的业务有关,并受到严密监控和管理。

  • 对于所有子域名,不仅要设定独立且精确的SPF记录,还要确保它们与主域名的策略一致。

  • 使用专业的工具或服务进行定期扫描,以便发现潜在的问题和不合规的发送源。

  • 当添加新邮件服务提供商或改变邮件服务器配置时,及时更新SPF记录以适应新的发送环境。

  • 通过以上步骤,您可以有效防止未经授权的发件人滥用您的域名进行邮件发送,并降低SubdoMailing攻击的风险。

图片


4. 启用DMARC

为了防止他人未经授权使用您的域名进行电子邮件欺骗,您应当设置DMARC策略以隔离不符合SPF和DKIM策略的邮件,并启用报告功能以监视潜在的滥用尝试。


具体步骤如下:

① 创建DMARC记录:在DNS中为您的域名添加DMARC记录,指定策略(如p=quarantine,表示将不符合策略的邮件隔离到收件箱的垃圾邮件或隔离区)。

② 确定报告频率和格式:设置 rua=(报告收集地址)参数,以便接收详细的XML格式的DMARC报告,了解哪些IP地址试图使用您的域名发送邮件,以及邮件是否通过了SPF和DKIM验证。

③ 设定策略升级计划:您可以先设置较为宽松的策略(如p=none,仅进行报告,不对邮件进行处理),在逐步了解邮件发送状况后,逐渐收紧策略至p=quarantine或p=reject,以阻止未经许可的邮件发送。

④ 监控与调整:定期查看并分析接收到的DMARC报告,据此优化您的电子邮件安全策略,并及时调整DMARC设置以应对新的威胁和挑战。

图片


通过实施DMARC,您可以更好地保护您的域名免受电子邮件欺诈的侵害,并有助于预防SubdoMailing等攻击手段对您的品牌信誉和用户安全带来的损害。



结语


在数字化日益普及的今天,网络安全问题愈发突出,预防子域劫持攻击已成为企业不容忽视的重要任务。通过监控CNAME记录、移除宽松的SPF设置、监控SPF策略以及启用DMARC等策略,企业可以建立起坚实的安全防线,有效应对SubdoMailing等高级子域名劫持攻击。


然而,安全并非一劳永逸,它需要企业持续投入精力和资源,不断跟进新的攻击手段和防护技术。企业应当建立定期的安全审计机制,对现有的安全策略和措施进行检查和优化,确保安全体系的时效性和有效性。


同时,企业还应加强员工的网络安全意识培训,让每一个员工都成为企业安全防线的一部分。只有当每个人都认识到网络安全的重要性,并积极参与到安全防护工作中来,企业才能真正做到防患于未然,确保网络环境的稳定和用户信息的安全。


_______________
_______________
_______________
_______________
ZDNS
核心网络设备
ZDNS Cloud
顶级域名
友情互联:
_______________________________________________________________________________________________________________________________
邮箱:support@zdns.cn
7*24小时客户服务
咨询电话:400-6688-876
标签:
请输入要描述的内容进行内容补充 请输入要描述的内容
01
03
请输入要描述的内容进行内容补充 请输入要描述的内容
_______________________________________________________________________________________________________________________________
互联网域名系统北京市工程研究中心有限公司 版权所有 © 2022 
官方微信
DDI网络核心服务
顶级域名申请
IP 地址管理
DNS 安全
智能 DNS
域名资质
两地三中心
流量调度
DNS 云解析
新顶级域直通车
________________________________________________________________________________________________________________________________