Domain shadowing
O que é Domain shadowing?
Domain shadowingAtaque em que um criminoso compromete a conta registar do dono de um dominio legitimo e cria silenciosamente subdominios maliciosos sob o dominio principal de confianca.
O domain shadowing aproveita credenciais roubadas do registar ou do alojamento DNS. Em vez de registar um novo dominio suspeito, o atacante entra no painel da vitima e cria silenciosamente centenas de subdominios como login.acme.example.com ou invoice42.acme.example.com a apontarem para a sua infraestrutura. Como o dominio principal e antigo, bem reputado e aparentemente intacto, os subdominios herdam reputacao e escapam frequentemente a filtros de URL, gateways de correio e avisos TLS. Foi utilizado por operadores de exploit kits (Angler, RIG) e grupos de phishing. Defesas: MFA forte no registar, registry lock, monitorizacao de alteracoes de DNS e filtragem web que decomponha hostnames e inspecione subdominios recem-vistos.
● Exemplos
- 01
A Cisco Talos documentou campanhas do exploit kit Angler que rodavam milhares de subdominios shadowed.
- 02
Grupos de phishing usam subdominios shadowed de PMEs conhecidas para alojar paginas que roubam credenciais.
● Perguntas frequentes
O que é Domain shadowing?
Ataque em que um criminoso compromete a conta registar do dono de um dominio legitimo e cria silenciosamente subdominios maliciosos sob o dominio principal de confianca. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Domain shadowing?
Ataque em que um criminoso compromete a conta registar do dono de um dominio legitimo e cria silenciosamente subdominios maliciosos sob o dominio principal de confianca.
Como funciona Domain shadowing?
O domain shadowing aproveita credenciais roubadas do registar ou do alojamento DNS. Em vez de registar um novo dominio suspeito, o atacante entra no painel da vitima e cria silenciosamente centenas de subdominios como login.acme.example.com ou invoice42.acme.example.com a apontarem para a sua infraestrutura. Como o dominio principal e antigo, bem reputado e aparentemente intacto, os subdominios herdam reputacao e escapam frequentemente a filtros de URL, gateways de correio e avisos TLS. Foi utilizado por operadores de exploit kits (Angler, RIG) e grupos de phishing. Defesas: MFA forte no registar, registry lock, monitorizacao de alteracoes de DNS e filtragem web que decomponha hostnames e inspecione subdominios recem-vistos.
Como se defender contra Domain shadowing?
As defesas contra Domain shadowing costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Domain shadowing?
Nomes alternativos comuns: Sombreamento de subdominios.
● Termos relacionados
- attacks№ 407
Fast flux
Tecnica de DNS usada por botnets que faz rodar rapidamente os enderecos IP por tras de um dominio malicioso entre muitos hosts comprometidos para resistir a takedowns e bloqueios.
- attacks№ 348
Algoritmo de geracao de dominios (DGA)
Algoritmo usado por malware para gerar deterministicamente grandes quantidades de nomes de dominio candidatos para que hosts infetados encontrem o seu servidor C2.
- attacks№ 821
Phishing
Ataque de engenharia social no qual o atacante se faz passar por uma entidade de confiança para enganar a vítima e obter credenciais, transferir dinheiro ou executar malware.
- attacks№ 338
Sequestro de DNS
Ataque que redireciona a resolução de DNS para respostas controladas pelo atacante, alterando definições do cliente, configurações do router, respostas do resolver ou registos DNS autoritativos.
- attacks№ 1184
Typosquatting
Registo de nomes de domínio ou de pacote que são erros de escrita ou imitações visuais de nomes legítimos, para apanhar utilizadores ou developers que cometem erros de escrita ou de reconhecimento.