Domain shadowing
Что такое Domain shadowing?
Domain shadowingАтака, при которой злоумышленник компрометирует учетную запись регистратора владельца легитимного домена и тихо создает вредоносные поддомены под доверенным родительским доменом.
Domain shadowing использует украденные учетные данные регистратора или DNS-хостинга. Вместо того чтобы регистрировать новый подозрительный домен, атакующий входит в панель владельца жертвы и тихо создает сотни поддоменов вроде login.acme.example.com или invoice42.acme.example.com, ведущих на свою инфраструктуру. Родительский домен старый, с хорошей репутацией и внешне не изменен, поэтому поддомены наследуют доверие и часто проходят URL-фильтры, почтовые шлюзы и TLS-предупреждения. Технику применяли операторы эксплойт-китов (Angler, RIG) и фишинговые группы. Защита: сильная MFA на счетах у регистратора, registry lock, мониторинг изменений DNS и исходящий веб-фильтр, разбирающий hostname и проверяющий новые поддомены.
● Примеры
- 01
Cisco Talos описывала кампании Angler, ротировавшего тысячи теневых поддоменов.
- 02
Фишинговые группы используют теневые поддомены известных компаний для размещения страниц кражи учетных данных.
● Частые вопросы
Что такое Domain shadowing?
Атака, при которой злоумышленник компрометирует учетную запись регистратора владельца легитимного домена и тихо создает вредоносные поддомены под доверенным родительским доменом. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Domain shadowing?
Атака, при которой злоумышленник компрометирует учетную запись регистратора владельца легитимного домена и тихо создает вредоносные поддомены под доверенным родительским доменом.
Как защититься от Domain shadowing?
Защита от Domain shadowing обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Domain shadowing?
Распространённые альтернативные названия: Тенизация поддоменов.