Entry № 389
域名暗影攻击(Domain Shadowing)
域名暗影攻击(Domain Shadowing) 是什么?
域名暗影攻击(Domain Shadowing)攻击者入侵合法域名所有者的注册商账户,在受信任的父域下悄悄创建恶意子域名的攻击手法。
Domain shadowing 利用被盗的注册商或 DNS 托管凭据。攻击者不会注册新的可疑域名,而是登录受害方的控制面板,悄悄创建数百个如 login.acme.example.com、invoice42.acme.example.com 的子域,并将其解析到攻击者基础设施。由于父域名年代久远、信誉良好,且表面上没有被修改,这些子域可继承信誉,经常绕过 URL 信誉过滤、邮件网关与 TLS 警告。Angler、RIG 等漏洞利用工具包和钓鱼团伙都使用过该技术。常见防御包括对注册商账户启用强 MFA、注册锁定、DNS 变更监控,以及能拆分主机名并审查新出现子域的出站 Web 过滤。
● 示例
- 01
Cisco Talos 记录了 Angler 漏洞利用工具包通过轮换数千个暗影子域的活动。
- 02
钓鱼团伙利用知名中小企业的暗影子域托管凭据窃取页面。
● 常见问题
域名暗影攻击(Domain Shadowing) 是什么?
攻击者入侵合法域名所有者的注册商账户,在受信任的父域下悄悄创建恶意子域名的攻击手法。 它属于网络安全的 攻击与威胁 分类。
域名暗影攻击(Domain Shadowing) 是什么意思?
攻击者入侵合法域名所有者的注册商账户,在受信任的父域下悄悄创建恶意子域名的攻击手法。
如何防御 域名暗影攻击(Domain Shadowing)?
针对 域名暗影攻击(Domain Shadowing) 的防御通常结合技术控制与运营实践,详见上方完整定义。
域名暗影攻击(Domain Shadowing) 还有哪些其他名称?
常见的别称包括: 子域影子化。