在本文中,我们将深入研究被称为域名阴影的攻击向量,以及它如何将一个无辜的博客置于已知坏域名的屏蔽列表中。当用于设置和维护域的凭据被破坏时,域阴影攻击就开始了。一旦恶意用户访问了您的DNS帐户,他们就会开始在您的根域之外建立新的子域。由于以下几个原因,这一点尤其难以察觉:
- 攻击者不需要访问您的web服务器。
- 即使你被通知并在你的服务器上搜索,你也不会发现任何东西,因为他们建立的新子域托管在完全不同的地方,利用根域的声誉向毫无戒心的访问者兜售恶意软件。
在这个例子中,我将分享一些细节,这些细节将说明攻击的后果,以及DomainTools如何被用来发现这种类型的网络攻击。
我正在寻找这种特殊类型的利用的一些很好的例子,所以我在twitter上搜索#rigek,这是安全响应人员分享有关正在进行的攻击的信息的一种方式。这是一份具体的报告,其中有超过40000个网站被入侵并使用RIG开发工具包.据报道,RIGEK被托管在以下url: new[.]60windowsin60days[.]com。为了开始我的调查,我首先复制并粘贴url到DomainTools虹膜调查.我了解到这个域名是由Susan Pace在WJW Fox8注册并拥有的,电子邮件地址是Susan . Pace [@] Fox8 [.]com。快速浏览虹膜调查的被动DNS选项卡,使用此url发现了指向俄罗斯服务器的子域。考虑到Fox8总部位于俄亥俄州的克利夫兰,这似乎相当奇怪。接下来,我想看看他们的根域托管在哪里,所以我在虹膜调查中做了一些研究,了解到它托管在亚利桑那州的斯科茨代尔。
在这篇最近的文章中Threatpost我们可以看到,这是一次非常有针对性的攻击,针对的是使用过GoDaddy并作为主要域名注册商的用户。他们发现超过4万个这样的子域名已经被泄露。
我想了解入侵的程度,所以我深入研究了用于注册这些域名的电子邮件地址,并确定了据报道已被入侵的四个域名。四个域名中的每一个都有指向俄罗斯的子域名。
- 60 windowsin60days。com
- fox8recipes。com
- hondafastbreak。com
- myblurryeyes。com
通过使用被动DNS对IP地址进行更深入的挖掘,我注意到更多使用相同IP地址的域被泄露,其中一个是在隐私下注册的。不过,基于这个名字,还相关的是fox8creative[.]com。这四个域都有一个子域,分别是test、top和new。
我知道GoDaddy已经实施了一些更改来帮助防止这种类型的攻击,但根据我在虹膜调查内部看到的一些数据的日期,这种类型的攻击仍然是一个问题。我建议,无论你拥有一个域名,还是超过30,000个域名,你都应该确保你的帐户没有被泄露,我建议对你的域名实施双重身份验证。
祝你打猎好运。