Domain shadowing
¿Qué es Domain shadowing?
Domain shadowingAtaque en el que un delincuente compromete la cuenta del registrador de un dominio legitimo y crea silenciosamente subdominios maliciosos bajo el dominio padre de confianza.
El domain shadowing aprovecha credenciales robadas del registrador o del proveedor de DNS. En lugar de registrar un dominio sospechoso nuevo, el atacante entra en el panel del propietario victima y crea silenciosamente cientos de subdominios como login.acme.example.com o invoice42.acme.example.com que resuelven a su infraestructura. Como el dominio padre es antiguo, tiene buena reputacion y no aparece visiblemente modificado, los subdominios heredan reputacion y suelen burlar filtros de URL, gateways de correo y advertencias TLS. Lo usaron los operadores de exploit kits (Angler, RIG) y bandas de phishing. La defensa incluye MFA fuerte en el registrador, bloqueo de registro, monitoreo de cambios DNS y filtrado web que descomponga los hostnames e inspeccione subdominios nuevos.
● Ejemplos
- 01
Cisco Talos documento campanas del exploit kit Angler que rotaban miles de subdominios sombreados.
- 02
Bandas de phishing usan subdominios sombreados de pymes conocidas para alojar paginas que roban credenciales.
● Preguntas frecuentes
¿Qué es Domain shadowing?
Ataque en el que un delincuente compromete la cuenta del registrador de un dominio legitimo y crea silenciosamente subdominios maliciosos bajo el dominio padre de confianza. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Domain shadowing?
Ataque en el que un delincuente compromete la cuenta del registrador de un dominio legitimo y crea silenciosamente subdominios maliciosos bajo el dominio padre de confianza.
¿Cómo funciona Domain shadowing?
El domain shadowing aprovecha credenciales robadas del registrador o del proveedor de DNS. En lugar de registrar un dominio sospechoso nuevo, el atacante entra en el panel del propietario victima y crea silenciosamente cientos de subdominios como login.acme.example.com o invoice42.acme.example.com que resuelven a su infraestructura. Como el dominio padre es antiguo, tiene buena reputacion y no aparece visiblemente modificado, los subdominios heredan reputacion y suelen burlar filtros de URL, gateways de correo y advertencias TLS. Lo usaron los operadores de exploit kits (Angler, RIG) y bandas de phishing. La defensa incluye MFA fuerte en el registrador, bloqueo de registro, monitoreo de cambios DNS y filtrado web que descomponga los hostnames e inspeccione subdominios nuevos.
¿Cómo defenderse de Domain shadowing?
Las defensas contra Domain shadowing combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Domain shadowing?
Nombres alternativos comunes: Sombreado de subdominios.
● Términos relacionados
- attacks№ 407
Fast flux
Tecnica de DNS de botnets que rota rapidamente las direcciones IP detras de un dominio malicioso entre muchos equipos comprometidos para resistir bloqueos y takedowns.
- attacks№ 348
Algoritmo de generacion de dominios (DGA)
Algoritmo usado por malware para generar deterministicamente grandes cantidades de nombres de dominio candidatos para que los equipos infectados encuentren su C2.
- attacks№ 821
Phishing
Ataque de ingeniería social en el que el atacante se hace pasar por una entidad de confianza para engañar a la víctima y obtener credenciales, dinero o ejecutar malware.
- attacks№ 338
Secuestro de DNS
Ataque que redirige la resolución DNS a respuestas controladas por el atacante alterando ajustes del cliente, configuración del router, respuestas del resolutor o registros DNS autoritativos.
- attacks№ 1184
Typosquatting
Registrar nombres de dominio o de paquete que son erratas o imitaciones visuales de los legítimos para captar a quien comete errores de tecleo o de reconocimiento.