Guardio Labs 发现了一起严重的子域劫持事件,影响了数千个子域。他们创造了 "SubdoMailing "一词来描述这种利用知名公司的受威胁子域来发送恶意电子邮件的攻击链。调查发现,该恶意活动自 2022 年以来一直很活跃。
SubdoMailing 可以被认为是社会工程学攻击的一种进化形式,它利用了公认子域的可靠性。攻击者通过从被劫持的子域发送数百万封钓鱼邮件,大规模地实施这种恶意攻击活动。
在子域劫持中,攻击者会控制一个与合法根域相关的子域,然后该子域就会成为各种恶意活动的温床。被劫持的子域可用于发起网络钓鱼活动、传播不当内容、销售非法物质或传播勒索软件。不活跃的子域往往长期处于休眠状态。更危险的是,这些子域有 为子域劫持铺平了道路。一旦攻击者控制了这些子域,他们就可以逍遥法外!
当您在运营一个拥有多个子域的域名时,很容易出现背对背、不锁门的情况。无论您是企业还是小企业,如果不能确保子域的安全,都可能导致 SubdoMailing 或其他形式的子域滥用事件。
一篇 的一篇文章指出,该公司发现数千个知名品牌的看似合法的子域中产生了可疑的电子邮件流量。其中包括 MSN、VMware、McAfee、《经济学家》、康奈尔大学、哥伦比亚广播公司、Marvel、eBay 等大品牌!这些电子邮件利用紧迫感操纵用户点击可疑链接。这些链接将用户重定向到有害的目的地。其中既有侵入性广告,也有旨在窃取敏感信息的更危险的钓鱼网站。
由于 SubdoMailing 攻击的独特性,预计其成功率很高。Guardio 解释说,SubdoMailing 使用高度复杂的策略来操纵此类流行品牌的合法子域。这些攻击很难被发现,需要 Guardio 的网络安全专家进行彻底调查。
我们发现 SubdoMailing 攻击确实有可能严重危害一些毫无戒心的用户,这是因为它具有以下特点:
让我们以 Guardio 调查的其中一个使用案例为例。Guardio 发现了几封来自 msn.com 某个子域的网络钓鱼电子邮件。 Guardio 在仔细检查这些恶意电子邮件时发现,它们是从乌克兰基辅市的一个服务器发送的。理想情况下,在进行 检查时会被标记为可疑,除非服务器的 IP 地址经过授权。经检查发现,msn.com 的一个子域授权了该可疑 IP 地址。这可能是以下原因之一:
通过进一步检查 msn.com 子域的 SPF 记录,Guardio 专家发现了一个由 17826 个嵌套 IP 地址组成的兔子洞,这些 IP 地址被授权代表该域发送电子邮件。SPF 记录的错综复杂暗示了一种非常可疑但又经过精心设计的操纵身份验证过滤器的方法。更重要的是,调查发现该 MSN 子域通过 CNAME DNS 记录指向另一个域。因此,一旦攻击者购买了另一个域,就可以劫持 MSN 子域。那么,攻击者是如何做到这一点的呢?让我们一探究竟:
Guardio 利用互联网档案深入了解 msn.com 子域是否确实由 MSN 申请。结果发现,该子域在 22 年前就已活跃。直到最近,该子域已被废弃了二十多年!
事情是这样的 在 SubdoMailing 案例中,被劫持子域的 SPF 记录托管了多个废弃域名。这些域名被进一步获取,以授权攻击者拥有的 SMTP 服务器。根据 SPF 策略的性质,子域最终会将所有这些由攻击者控制的服务器授权为合法的电子邮件发送者。
我们使用 SPF 的根本原因是为了授权合法发件人。当公司使用外部电子邮件供应商发送电子邮件时,这一点就变得非常重要。这也消除了欺诈来源代表域名发送电子邮件的可能性。在这个典型的 SPF 记录操纵案例中,使用 SPF 验证电子邮件的优势被滥用于授权恶意发件人。
像 SubdoMailing 这样的高级子域劫持攻击需要采取积极的预防策略。您可以从以下方面入手:
指向已取消配置的域或不再使用的服务器的 DNS 条目可能会导致 SubdoMailing。请确保您定期更新 DNS 记录,并且不授权过时的来源。DNS 记录中应只指向您控制的活动域或服务器。您还应确保您的电子邮件供应商保持发送列表的清洁,并删除不再使用的服务器。
仅配置 DMARC 报告是不够的,还应该对报告进行监控。作为域名所有者,您应该随时了解自己的电子邮件发送行为。由于电子邮件数量庞大,即使有专用邮箱也很难做到这一点。因此,您需要像 PowerDMARC 这样的第三方供应商。我们可以帮助您在基于云的仪表板上监控发送源和电子邮件活动,并提供高级过滤功能。我们的平台会自动检测子域,帮助您密切关注它们。这样,您就可以立即发现任何可疑活动!
这为我们敲响了警钟,今天就应该重新评估所有发送源。开始执行 使用我们的免费工具!评估 SPF 状态中的 "包含 "机制,检查包含的域和子域。这些域托管 SPF 记录,其 IP 地址被授权代表您的根域发送电子邮件。如果您发现有不再使用的子域,就应该删除它的 "包含"。您可以前往 DNS 编辑区进行必要的更改。
SecurityGateway 可以帮助您确保域名安全!我们的平台旨在让域名所有者通过可视性和监控功能重新掌控自己的域名。我们通过提供有关电子邮件活动来龙去脉的详细资料,帮助您跟踪发送源和电子邮件流量。这可以帮助您发现域名活动中的异常模式、冒充您域名的恶意 IP,甚至发现欺骗您品牌名称的服务器的地理位置。
与我们一起开始您的域名安全之旅、 立即与我们的专家联系!