Domain shadowing
Что такое Domain shadowing?
Domain shadowingАтака, при которой злоумышленник компрометирует учетную запись регистратора владельца легитимного домена и тихо создает вредоносные поддомены под доверенным родительским доменом.
Domain shadowing использует украденные учетные данные регистратора или DNS-хостинга. Вместо того чтобы регистрировать новый подозрительный домен, атакующий входит в панель владельца жертвы и тихо создает сотни поддоменов вроде login.acme.example.com или invoice42.acme.example.com, ведущих на свою инфраструктуру. Родительский домен старый, с хорошей репутацией и внешне не изменен, поэтому поддомены наследуют доверие и часто проходят URL-фильтры, почтовые шлюзы и TLS-предупреждения. Технику применяли операторы эксплойт-китов (Angler, RIG) и фишинговые группы. Защита: сильная MFA на счетах у регистратора, registry lock, мониторинг изменений DNS и исходящий веб-фильтр, разбирающий hostname и проверяющий новые поддомены.
● Примеры
- 01
Cisco Talos описывала кампании Angler, ротировавшего тысячи теневых поддоменов.
- 02
Фишинговые группы используют теневые поддомены известных компаний для размещения страниц кражи учетных данных.
● Частые вопросы
Что такое Domain shadowing?
Атака, при которой злоумышленник компрометирует учетную запись регистратора владельца легитимного домена и тихо создает вредоносные поддомены под доверенным родительским доменом. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Domain shadowing?
Атака, при которой злоумышленник компрометирует учетную запись регистратора владельца легитимного домена и тихо создает вредоносные поддомены под доверенным родительским доменом.
Как работает Domain shadowing?
Domain shadowing использует украденные учетные данные регистратора или DNS-хостинга. Вместо того чтобы регистрировать новый подозрительный домен, атакующий входит в панель владельца жертвы и тихо создает сотни поддоменов вроде login.acme.example.com или invoice42.acme.example.com, ведущих на свою инфраструктуру. Родительский домен старый, с хорошей репутацией и внешне не изменен, поэтому поддомены наследуют доверие и часто проходят URL-фильтры, почтовые шлюзы и TLS-предупреждения. Технику применяли операторы эксплойт-китов (Angler, RIG) и фишинговые группы. Защита: сильная MFA на счетах у регистратора, registry lock, мониторинг изменений DNS и исходящий веб-фильтр, разбирающий hostname и проверяющий новые поддомены.
Как защититься от Domain shadowing?
Защита от Domain shadowing обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Domain shadowing?
Распространённые альтернативные названия: Тенизация поддоменов.
● Связанные термины
- attacks№ 407
Fast flux
DNS-техника ботнетов, при которой IP-адреса вредоносного домена быстро ротуются между множеством скомпрометированных хостов, чтобы затруднить блокировку и закрытие.
- attacks№ 348
Алгоритм генерации доменов (DGA)
Алгоритм во вредоносном ПО, детерминированно создающий большое число кандидатных доменных имен, чтобы заражённые узлы могли найти свой управляющий сервер.
- attacks№ 821
Фишинг
Атака с применением социальной инженерии, при которой злоумышленник выдаёт себя за доверенную сторону, чтобы заставить жертву раскрыть учётные данные, перевести деньги или запустить вредоносное ПО.
- attacks№ 338
Захват DNS
Атака, при которой DNS-разрешение перенаправляется на ответы под контролем злоумышленника через изменение настроек клиента, маршрутизатора, ответов резолвера или авторитативных DNS-записей.
- attacks№ 1184
Тайпсквоттинг (Typosquatting)
Регистрация доменов или имён пакетов, являющихся опечатками или визуальными двойниками легитимных, чтобы перехватывать пользователей и разработчиков, ошибающихся при наборе.