网络安全新威胁:子域劫持攻击频发,企业需加强防范87
发表时间:2024-03-28 16:15 前言 在当今数字时代,网络安全的重要性不言而喻。然而,即便是知名品牌和机构,也可能在不经意间成为网络攻击的受害者。 也许你还不知道,但你的网站可以被他人劫持!通过利用DNS区域委派配置上出现的疏忽,黑客可以控制你网站的子域。这种攻击被称为子域劫持(Subdomain Hijacking)。 近日,知名网络安全研究机构Guardio Labs发现了一起严重的子域劫持事件,已损害了来自知名品牌和机构的8000多个域名和1.3万个子域名,包括微软(MSN)、VMware、McAfee、《经济学人》、康奈尔大学、哥伦比亚广播公司(CBS)、漫威、eBay等。这种被称为“SubdoMailing”的恶意活动利用与这些域相关的信任,每天传播数以百万计的垃圾邮件和恶意网络钓鱼电子邮件,狡猾地利用其可信度和被盗资源来绕过安全措施。 在分析超过600万份DNS记录后,发现该恶意活动自 2022 年以来一直很活跃,许多企业容易遭受子域劫持,21%的DNS记录指向不解析的内容。 什么是子域名劫持 在子域劫持中,攻击者会接管与合法根域名关联的子域名,使其变成各种恶意活动的温床。被劫持的子域名可以用来发起网络钓鱼攻击,传播不适当内容,贩卖非法物品,或者散布勒索软件。 通常情况下,未使用的子域名会长期处于休眠状态。更危险的是,这些子域名存在悬空(即指向不存在内容)的DNS记录,从而为子域劫持提供了可乘之机。一旦攻击者控制了这些子域名,他们就可能实施多种恶意行为而不被察觉! 当你运营一个包含多个子域名的域名时,很容易忽视安全问题而给攻击者留下“后门”。无论你是企业还是小企业,若未能确保子域名的安全,都可能导致诸如SubdoMailing之类的事件发生,或者是其他形式的子域名滥用。 SubdoMailing攻击如何运作 文章中指出,他们发现来自知名品牌的数千个看似合法子域名产生的可疑邮件流量,这些邮件利用紧急性诱导用户点击其中的危险链接。一旦用户点击,就会被重定向到一系列有害网站。这些网站的危害程度各异,从侵入性的广告到更加危险的旨在窃取用户的敏感信息的钓鱼网站。攻击者通过劫持这些知名品牌闲置或疏于管理的子域名,为其恶意活动制造了伪装,使得受害者更容易落入圈套。 SubdoMailing示例 上述例子是Guardio Labs发现的一个典型的SubdoMailing案例。攻击者利用了一个已被攻陷的Cash App子域名向数百万用户发送电子邮件。邮件中显示了一条警告信息,要求用户确认其Cash App账户中的待处理资金。邮件中包含了多个潜在的恶意重定向链接。 精心设计的恶意电子邮件附件和链接往往难以被用户忽视,特别是当它们附着在一条要求立即处理的警告消息上时。在这种情况下,用户很可能会出于担心而点击链接,从而成为网络攻击的受害者。攻击者就是利用这种心理战术,引导用户点击含有恶意内容的链接,从而实现盗取用户信息、传播恶意软件或其他形式的网络犯罪目的。因此,提高用户对这类诈骗邮件的识别能力,并加强对子域名安全的管理和监控,是防范此类SubdoMailing攻击的关键措施之一。 SubdoMailing攻击为何如此危险 Guardio Labs指出,SubdoMailing攻击采用了极为复杂精妙的策略来操纵一些知名品牌的合法子域名。这些攻击极具隐匿性,难以被发现。 具体包含以下策略:
SubdoMailing还可以绕过邮件认证检查,以Guardio Labs调查的一个实例为例,他们在msn.com的特定子域名下发现了多封钓鱼邮件。 在仔细检查这些恶意邮件时,Guardio Labs发现这些邮件是从乌克兰基辅的一台服务器发出的。理论上,在进行SPF检查时,这应该会被标记为可疑,除非该服务器的IP地址已被授权。经过核查,发现msn.com的一个子域名确实已经授权了这个可疑的IP地址。 这可能是由于以下原因之一:
进一步审查msn.com子域名的SPF记录时,Guardio Labs专家发现一个包含17826个嵌套IP地址的复杂结构,这些地址都被授权代表该域名发送邮件。SPF记录的复杂性暗示了攻击者针对操纵认证过滤器采取了高度可疑但精心设计的方法。更重要的是,调查结果显示,这个MSN子域名通过CNAME DNS记录指向了另一个域名。因此,一旦攻击者购买了那个域名,就能够劫持MSN的子域名。 在SubdoMailing攻击中,攻击者利用了长期废弃不用的子域名。Guardio Labs通过互联网档案挖掘发现,该msn.com子域名在22年前曾是活跃的,然而之后经历了超过二十年的弃置状态,直至最近被重新利用。 具体情况如下:
我们使用SPF的主要目的是为了授权合法的邮件发送者,这对于企业使用第三方邮件服务商发送邮件时尤为重要,可以避免欺诈来源冒充域名发送邮件。然而,在这个经典的SPF记录操纵案例中,攻击者恰恰滥用了SPF验证邮件的优势,将其用于授权恶意邮件发送者。这意味着原本用于保护邮件安全的SPF机制,在这种情况下反而被用于增强攻击者的伪装性和欺骗性。 预防子域劫持攻击,企业可以做些什么? 针对SubdoMailing这样的高级子域名劫持攻击,企业应采取积极主动的预防策略。以下是一些应对措施 1. 监控所有CNAME记录 确保您的CNAME记录仅链接至您直接控制或受信任方控制的域名。此外,务必从DNS记录中移除所有未使用的子域名。这一步骤有助于消除不必要的安全隐患,防止攻击者利用废弃或不受控的子域名和CNAME记录进行恶意活动,如SubdoMailing攻击。定期进行子域名和CNAME记录的清理与审计是维持网络安全的重要环节,有助于及时发现并修复可能存在的漏洞,确保您的网络资源不会被用于非法或恶意目的。同时,采用自动化工具进行监控,可以更有效地发现并解决潜在问题,确保您的在线资产得到充分保护。 2. 移除宽松的SPF设置 请避免配置允许所有发件人(+all)的设置,并谨慎使用SoftFail(~all)或Neutral(?all)。对于不在您控制范围内的IP地址段的包含,需特别留意并加以小心。 正确的做法是:
总之,要确保您的SPF策略严谨且准确反映您的邮件发送环境,这样才能有效防止未经授权的邮件发送和SubdoMailing攻击。 3. 监控您的SPF策略
4. 启用DMARC 为了防止他人未经授权使用您的域名进行电子邮件欺骗,您应当设置DMARC策略以隔离不符合SPF和DKIM策略的邮件,并启用报告功能以监视潜在的滥用尝试。 具体步骤如下: ① 创建DMARC记录:在DNS中为您的域名添加DMARC记录,指定策略(如p=quarantine,表示将不符合策略的邮件隔离到收件箱的垃圾邮件或隔离区)。 ② 确定报告频率和格式:设置 rua=(报告收集地址)参数,以便接收详细的XML格式的DMARC报告,了解哪些IP地址试图使用您的域名发送邮件,以及邮件是否通过了SPF和DKIM验证。 ③ 设定策略升级计划:您可以先设置较为宽松的策略(如p=none,仅进行报告,不对邮件进行处理),在逐步了解邮件发送状况后,逐渐收紧策略至p=quarantine或p=reject,以阻止未经许可的邮件发送。 ④ 监控与调整:定期查看并分析接收到的DMARC报告,据此优化您的电子邮件安全策略,并及时调整DMARC设置以应对新的威胁和挑战。 通过实施DMARC,您可以更好地保护您的域名免受电子邮件欺诈的侵害,并有助于预防SubdoMailing等攻击手段对您的品牌信誉和用户安全带来的损害。 结语 在数字化日益普及的今天,网络安全问题愈发突出,预防子域劫持攻击已成为企业不容忽视的重要任务。通过监控CNAME记录、移除宽松的SPF设置、监控SPF策略以及启用DMARC等策略,企业可以建立起坚实的安全防线,有效应对SubdoMailing等高级子域名劫持攻击。 然而,安全并非一劳永逸,它需要企业持续投入精力和资源,不断跟进新的攻击手段和防护技术。企业应当建立定期的安全审计机制,对现有的安全策略和措施进行检查和优化,确保安全体系的时效性和有效性。 同时,企业还应加强员工的网络安全意识培训,让每一个员工都成为企业安全防线的一部分。只有当每个人都认识到网络安全的重要性,并积极参与到安全防护工作中来,企业才能真正做到防患于未然,确保网络环境的稳定和用户信息的安全。 声明:此篇为ZDNS-国家工程研究中心原创文章,转载请标明出处链接:https://www.zdns.cn/h-nd-440.html
|