通过劫持具有 CNAME 记录的域并利用被遗忘的 SPF 记录,攻击者可以夺取域并将其用于自己的目的。
您可能已经收到过不止几封垃圾邮件或网络钓鱼电子邮件,这些邮件来自看似信誉良好的组织的地址。这可能让你想知道攻击者是如何管理这一壮举的,甚至可能担心是否有人以你自己公司的名义发送恶意电子邮件。 好消息是,有几种技术可以对抗代表他人发送的电子邮件:发件人策略框架 (SPF);域名密钥识别邮件 (DKIM); 以及基于域的消息身份验证、报告和一致性 (DMARC)。不太好的消息是,攻击者偶尔会发现绕过这些保护措施的方法。这篇文章着眼于垃圾邮件发送者用来从真实组织的地址发送电子邮件的一种技术:域名劫持。
SubdoMailing 活动和企业域名劫持 Guardio Labs 的研究人员发现了一个大规模的垃圾邮件活动,他们称之为 SubdoMailing。该活动至少从 2022 年开始进行,涉及 8000 多个域名和 13,000 个以前由合法公司拥有的子域名,以及近 22,000 个唯一 IP 地址。研究人员估计,平均每天有大约500万封垃圾邮件。 SubdoMailing运营商一直在寻找合适的过期企业域名,一旦找到一些域名,他们就会重新注册它们——通常每天捕获几十个合法域名。这一记录是在 2023 年 6 月的一天内有 72 个域名被劫持。 为了避免登陆垃圾邮件列表,攻击者会不断轮换它们。每个域用于垃圾邮件分发 1-2 天,然后在垃圾邮件发送者切换到下一个域时长时间休眠。几天后,这个也暂时退役了,另一个取而代之。 使用自定义 CNAME 劫持域 那么,威胁行为者究竟是如何利用被劫持的域的呢?一种方法涉及使用自定义规范名称 (CNAME) 记录定位域。CNAME 是一种 DNS 记录,用于将一个域名重定向到另一个域名。 CNAME 记录的最简单示例是“www”子域,它通常重定向到主域,如下所示: • company.com → company.com 但是,存在更复杂的情况,即 CNAME 记录将子域重定向到完全独立的域。例如,这可能是一个托管在不同域上的促销网站,但通过 CNAME 记录集成到公司的整体 Web 资源结构中。 • company.com → company2020promo.com 拥有大量 Web 资源的大公司可能拥有多个 CNAME 记录和相应的域。问题在于管理员不能总是跟踪全部。因此,可能会出现域名已过期但其 CNAME 记录仍然存在的情况。这些是SubdoMailing活动背后的网络犯罪分子渴望收获的域名。 他们寻找废弃的域名,这些域名仍然具有有效的CNAME记录,这些记录引用了曾经拥有它们的大公司。让我们从我们的例子中 company2020promo.com。假设该公司在几年前的一次促销活动后放弃了这个域名,但管理员忘记删除CNAME记录。这允许威胁参与者将域注册给自己,并自动获得对 promo.company.com 子域的控制权。 这样一来,他们就能够授权位于自己拥有的 IP 地址的邮件服务器从 promo.company.com 子域发送电子邮件,从而有效地继承了主域的声誉,company.com。 利用 SPF 记录 SubdoMailing 攻击者采用的第二种策略涉及利用 SPF 记录。SPF(发件人策略框架 — SMTP 协议的扩展)记录列出了授权从特定域发送电子邮件的 IP 地址和域。 同样,大型组织出于各种目的在此列表中包含大量地址和域是完全正常的。这可能包括根本不属于公司的外部域,或者用于某些特定目的的外部域:临时项目、群发邮件工具、用户调查平台等。与 CNAME 场景类似,可能会发生域名注册已过期,但有人忘记从 SPF 记录中删除该域名的情况。 像这样的域名也受到威胁行为者的重视。对于我们的示例 company.com,假设 SPF 记录还包括一些外部域,如 customersurveytool.com,属于用户调查服务。 现在,假设此服务不再存在,域注册已过期,管理员忘记更新 SPF 记录。通过注册废弃的 customersurveytool.com 域,攻击者不仅可以从子域发送电子邮件,还可以从公司的主域发送电子邮件,company.com。 SubdoMailing 活动中的域名劫持示例 这些问题是如何产生的,可以从 msnmarthastewartsweeps.com 的案例中得到说明。Microsoft Network(MSN)门户曾经与名厨Martha Stewart合作开展了一个项目,通过奖品赠品推广MSN Messenger(还记得吗?)。该项目的网站使用了子域 marthastewart.msn.com,该子域 msnmarthastewartsweeps.com 通过CNAME记录重定向到外部域。 这是 marthastewart.msn.com 直播时的样子。源archive.org
正如您可能猜到的那样,msnmarthastewartsweeps.com 域注册最终过期,但 MSN 管理员未能删除相应的 CNAME 记录。2022 年,攻击者发现了这个域名,注册了它,并获得了从 marthastewart.msn.com 发送电子邮件的能力,利用 Microsoft Network 的声誉来达到自己的目的。
如何防范SubdoMailing 为防止域名劫持和以贵公司名义发送垃圾邮件,我们建议采取以下措施: • 实施 SPF、DKIM 和 DMARC • 定期清点公司的 Web 资源,包括域。 • 确保及时续订有效域名注册。 • 删除过时的 DNS 记录。
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/50366.html
