Domain shadowing
Qu'est-ce que Domain shadowing ?
Domain shadowingAttaque ou un criminel compromet le compte registrar du proprietaire d'un domaine legitime et cree discretement des sous-domaines malveillants sous ce domaine parent de confiance.
Le domain shadowing exploite des identifiants registrar ou DNS voles. Plutot que d'enregistrer un nouveau domaine suspect, l'attaquant se connecte au panneau du proprietaire victime et cree silencieusement des centaines de sous-domaines comme login.acme.example.com ou invoice42.acme.example.com qui resolvent vers son infrastructure. Le domaine parent etant ancien, bien repute et apparemment intact, les sous-domaines heritent de sa reputation et echappent souvent aux filtres d'URL, passerelles mail et avertissements TLS. Les operateurs d'exploit kits (Angler, RIG) et des groupes de phishing l'ont utilise. Defenses: MFA forte sur le registrar, registry lock, surveillance des changements DNS, filtrage web qui decompose les hostnames et inspecte les sous-domaines nouvellement observes.
● Exemples
- 01
Cisco Talos a documente des campagnes Angler faisant tourner des milliers de sous-domaines shadowed.
- 02
Des groupes de phishing utilisent des sous-domaines shadowed de PME connues pour heberger des pages de vol d'identifiants.
● Questions fréquentes
Qu'est-ce que Domain shadowing ?
Attaque ou un criminel compromet le compte registrar du proprietaire d'un domaine legitime et cree discretement des sous-domaines malveillants sous ce domaine parent de confiance. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Domain shadowing ?
Attaque ou un criminel compromet le compte registrar du proprietaire d'un domaine legitime et cree discretement des sous-domaines malveillants sous ce domaine parent de confiance.
Comment fonctionne Domain shadowing ?
Le domain shadowing exploite des identifiants registrar ou DNS voles. Plutot que d'enregistrer un nouveau domaine suspect, l'attaquant se connecte au panneau du proprietaire victime et cree silencieusement des centaines de sous-domaines comme login.acme.example.com ou invoice42.acme.example.com qui resolvent vers son infrastructure. Le domaine parent etant ancien, bien repute et apparemment intact, les sous-domaines heritent de sa reputation et echappent souvent aux filtres d'URL, passerelles mail et avertissements TLS. Les operateurs d'exploit kits (Angler, RIG) et des groupes de phishing l'ont utilise. Defenses: MFA forte sur le registrar, registry lock, surveillance des changements DNS, filtrage web qui decompose les hostnames et inspecte les sous-domaines nouvellement observes.
Comment se défendre contre Domain shadowing ?
Les défenses contre Domain shadowing combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Domain shadowing ?
Noms alternatifs courants : Ombrage de sous-domaines.
● Termes liés
- attacks№ 407
Fast flux
Technique DNS de botnets qui fait tourner rapidement les adresses IP derriere un domaine malveillant entre de nombreuses machines compromises pour resister aux blocages et takedowns.
- attacks№ 348
Domain Generation Algorithm (DGA)
Algorithme utilise par un malware pour generer de maniere deterministe de grandes quantites de noms de domaine candidats afin que les hotes infectes retrouvent leur serveur C2.
- attacks№ 821
Hameçonnage
Attaque d'ingénierie sociale où un attaquant se fait passer pour une entité de confiance afin de pousser la victime à révéler des identifiants, transférer de l'argent ou exécuter un logiciel malveillant.
- attacks№ 338
Détournement DNS
Attaque qui redirige la résolution DNS vers des réponses contrôlées par l'attaquant en modifiant les paramètres clients, la configuration du routeur, les réponses du résolveur ou les enregistrements DNS autoritaires.
- attacks№ 1184
Typosquatting
Enregistrement de noms de domaine ou de paquets fautes-de-frappe ou imitations visuelles de noms légitimes, pour piéger les utilisateurs ou développeurs qui se trompent en saisissant.