域名暗影攻击(Domain Shadowing)
域名暗影攻击(Domain Shadowing) 是什么?
域名暗影攻击(Domain Shadowing)攻击者入侵合法域名所有者的注册商账户,在受信任的父域下悄悄创建恶意子域名的攻击手法。
Domain shadowing 利用被盗的注册商或 DNS 托管凭据。攻击者不会注册新的可疑域名,而是登录受害方的控制面板,悄悄创建数百个如 login.acme.example.com、invoice42.acme.example.com 的子域,并将其解析到攻击者基础设施。由于父域名年代久远、信誉良好,且表面上没有被修改,这些子域可继承信誉,经常绕过 URL 信誉过滤、邮件网关与 TLS 警告。Angler、RIG 等漏洞利用工具包和钓鱼团伙都使用过该技术。常见防御包括对注册商账户启用强 MFA、注册锁定、DNS 变更监控,以及能拆分主机名并审查新出现子域的出站 Web 过滤。
● 示例
- 01
Cisco Talos 记录了 Angler 漏洞利用工具包通过轮换数千个暗影子域的活动。
- 02
钓鱼团伙利用知名中小企业的暗影子域托管凭据窃取页面。
● 常见问题
域名暗影攻击(Domain Shadowing) 是什么?
攻击者入侵合法域名所有者的注册商账户,在受信任的父域下悄悄创建恶意子域名的攻击手法。 它属于网络安全的 攻击与威胁 分类。
域名暗影攻击(Domain Shadowing) 是什么意思?
攻击者入侵合法域名所有者的注册商账户,在受信任的父域下悄悄创建恶意子域名的攻击手法。
域名暗影攻击(Domain Shadowing) 是如何工作的?
Domain shadowing 利用被盗的注册商或 DNS 托管凭据。攻击者不会注册新的可疑域名,而是登录受害方的控制面板,悄悄创建数百个如 login.acme.example.com、invoice42.acme.example.com 的子域,并将其解析到攻击者基础设施。由于父域名年代久远、信誉良好,且表面上没有被修改,这些子域可继承信誉,经常绕过 URL 信誉过滤、邮件网关与 TLS 警告。Angler、RIG 等漏洞利用工具包和钓鱼团伙都使用过该技术。常见防御包括对注册商账户启用强 MFA、注册锁定、DNS 变更监控,以及能拆分主机名并审查新出现子域的出站 Web 过滤。
如何防御 域名暗影攻击(Domain Shadowing)?
针对 域名暗影攻击(Domain Shadowing) 的防御通常结合技术控制与运营实践,详见上方完整定义。
域名暗影攻击(Domain Shadowing) 还有哪些其他名称?
常见的别称包括: 子域影子化。
● 相关术语
- attacks№ 407
Fast Flux 快速通量
僵尸网络使用的 DNS 技术,在许多被入侵主机间快速轮换恶意域名背后的 IP 地址,以抵抗下架和封禁。
- attacks№ 348
域名生成算法(DGA)
恶意软件用于按确定性规则批量生成候选域名,以便被感染主机找到其命令控制服务器的算法。
- attacks№ 821
网络钓鱼
一种社会工程攻击,攻击者冒充可信方,诱骗受害者泄露凭据、转账或运行恶意软件。
- attacks№ 338
DNS 劫持
通过修改客户端设置、路由器配置、解析器响应或权威 DNS 记录,将 DNS 解析重定向到攻击者控制结果的攻击。
- attacks№ 1184
拼写抢注 (Typosquatting)
注册与合法域名或软件包名极为相似的拼写错误版本或视觉仿冒名,以利用用户或开发者的输入和识别错误。