Захват поддомена
Что такое Захват поддомена?
Захват поддоменаАтака, при которой «висящая» DNS-запись (часто CNAME) указывает на не занятый облачный или SaaS-ресурс, и злоумышленник, зарегистрировав его, выдаёт себя за этот поддомен.
Subdomain takeover возникает, когда DNS-запись домена жертвы продолжает указывать на внешний сервис, который больше не используется. Классический случай — CNAME вида assets.example.com -> example-bucket.s3.amazonaws.com, тогда как бакет, сайт GitHub Pages, приложение Heroku или ресурс в Azure уже удалены. Атакующий, повторно регистрируя то же внешнее имя, начинает контролировать содержимое поддомена жертвы, включая cookie, OAuth-колбэки, доверенные CORS-источники и репутацию бренда. Обнаружение требует постоянной инвентаризации DNS, фингерпринтинга уязвимых провайдеров и сверки с облачными инвентарями. Меры защиты: удаление или переориентация висящих CNAME, дисциплина DNS при выводе ресурсов из эксплуатации и использование токенов владения, когда они доступны.
● Примеры
- 01
Злоумышленник перерегистрирует удалённый сайт GitHub Pages, на который по-прежнему указывает CNAME docs.example.com.
- 02
Истёкший профиль Azure Traffic Manager позволяет злоумышленнику забрать тот же FQDN и развернуть фишинговые страницы.
● Частые вопросы
Что такое Захват поддомена?
Атака, при которой «висящая» DNS-запись (часто CNAME) указывает на не занятый облачный или SaaS-ресурс, и злоумышленник, зарегистрировав его, выдаёт себя за этот поддомен. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает Захват поддомена?
Атака, при которой «висящая» DNS-запись (часто CNAME) указывает на не занятый облачный или SaaS-ресурс, и злоумышленник, зарегистрировав его, выдаёт себя за этот поддомен.
Как работает Захват поддомена?
Subdomain takeover возникает, когда DNS-запись домена жертвы продолжает указывать на внешний сервис, который больше не используется. Классический случай — CNAME вида assets.example.com -> example-bucket.s3.amazonaws.com, тогда как бакет, сайт GitHub Pages, приложение Heroku или ресурс в Azure уже удалены. Атакующий, повторно регистрируя то же внешнее имя, начинает контролировать содержимое поддомена жертвы, включая cookie, OAuth-колбэки, доверенные CORS-источники и репутацию бренда. Обнаружение требует постоянной инвентаризации DNS, фингерпринтинга уязвимых провайдеров и сверки с облачными инвентарями. Меры защиты: удаление или переориентация висящих CNAME, дисциплина DNS при выводе ресурсов из эксплуатации и использование токенов владения, когда они доступны.
Как защититься от Захват поддомена?
Защита от Захват поддомена обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Захват поддомена?
Распространённые альтернативные названия: Захват висящего CNAME, Dangling DNS takeover.
● Связанные термины
- attacks№ 338
Захват DNS
Атака, при которой DNS-разрешение перенаправляется на ответы под контролем злоумышленника через изменение настроек клиента, маршрутизатора, ответов резолвера или авторитативных DNS-записей.
- attacks№ 343
Подмена DNS
Атака, при которой подделанные DNS-ответы перенаправляют жертву с легитимного домена на IP-адрес, контролируемый злоумышленником.
- attacks№ 349
Захват домена
Несанкционированный захват контроля над зарегистрированным доменом на уровне регистратора или реестра, позволяющий злоумышленнику перенаправлять трафик, почту и доверие на вредоносную инфраструктуру.
- network-security№ 1159
TLS (Transport Layer Security)
Стандартизованный IETF криптографический протокол, обеспечивающий конфиденциальность, целостность и аутентификацию трафика между двумя сетевыми приложениями.
- network-security№ 092
BGP-хайджекинг
Атака, при которой автономная система анонсирует IP-префиксы, не принадлежащие ей легитимно, и тем самым притягивает и потенциально перехватывает глобальный интернет-трафик.
- attacks№ 337
Отравление DNS-кэша
Атака, при которой в кэш DNS-резолвера внедряются поддельные записи, и до истечения TTL запросы возвращают адреса, выбранные злоумышленником.
● См. также
- № 344DNS-туннелирование
- № 342DNS Rebinding