가디오 연구소는 수천 개의 하위 도메인에 영향을 미치는 심각한 하위 도메인 하이재킹 사례를 발견했습니다. 이들은 '서브도메일링'이라는 용어를 만들어 유명 기업의 위협받은 하위 도메인을 사용하여 악성 이메일을 보내는 이 일련의 공격을 설명했습니다. 조사 결과 이 악성 캠페인은 2022년부터 활동한 것으로 밝혀졌습니다.
서브도메일링은 잘 알려진 하위 도메인의 신뢰성을 이용하는 진화한 형태의 소셜 엔지니어링 공격으로 간주할 수 있습니다. 공격자는 탈취한 하위 도메인에서 수백만 개의 피싱 이메일을 전송하여 이 악성 캠페인을 대규모로 운영하고 있습니다.
하위 도메인 하이재킹 설명
하위 도메인 하이재킹에서 공격자는 합법적인 루트 도메인과 연결된 하위 도메인을 장악하여 다양한 악의적인 활동의 근거지가 됩니다. 하이재킹된 하위 도메인은 피싱 캠페인, 부적절한 콘텐츠 유포, 불법 물질 판매, 랜섬웨어 유포에 사용될 수 있습니다.
비활성 하위 도메인은 오랜 기간 동안 휴면 상태로 있는 경우가 많습니다. 더욱 위험한 것은 이러한 하위 도메인에는 DNS 레코드가 하위 도메인을 하이재킹할 수 있는 길을 열어줍니다. 공격자가 이러한 하위 도메인을 제어하게 되면 많은 것을 얻을 수 있습니다!
여러 개의 하위 도메인이 있는 도메인 네임을 운영할 경우 등을 돌리고 문이 잠기지 않은 채로 방치하기 쉽습니다. 대기업이든 소규모 기업이든 하위 도메인을 보호하지 않으면 서브도메일링이나 다른 형태의 하위 도메인 남용과 같은 사고가 발생할 수 있습니다.
서브도메일링 공격은 어떻게 작동하나요?
An Guardio의 기사 에 따르면 이 회사는 유명 브랜드의 합법적으로 보이는 수천 개의 하위 도메인에서 발생하는 의심스러운 이메일 트래픽을 발견했다고 합니다. 여기에는 MSN, VMware, 맥아피, 이코노미스트, 코넬 대학교, CBS, 마블, 이베이 등의 유명 브랜드가 포함되었습니다!
이러한 이메일은 긴박감을 이용해 사용자가 악성 링크를 클릭하도록 유도합니다. 이러한 이메일은 사용자를 유해한 목적지로 리디렉션했습니다. 침입성 광고부터 민감한 정보 탈취를 목적으로 하는 더 위험한 피싱 웹사이트까지 다양했습니다.
서브도메일링 예시
위에 표시된 예는 가디오가 발견한 대표적인 서브도메일링 사례입니다. 손상된 Cash 앱 하위 도메인에서 발신된 이메일이 수백만 명의 사용자에게 유포되었습니다. 이 이메일은 Cash 앱 계정에 보류 중인 자금을 확인하라는 경고 메시지를 표시했습니다. 이 이메일에는 잠재적으로 악의적인 리디렉션이 여러 개 포함되어 있었습니다.
신중하게 제작된 악성 이메일 첨부파일과 링크는 무시하기 매우 어렵습니다. 특히 즉각적인 주의가 필요한 경고 메시지가 첨부되어 있을 때는 더욱 그렇습니다. 당연히 이러한 상황에서는 사용자가 링크를 클릭해 사이버 공격의 희생양이 될 가능성이 매우 높습니다.
서브도메일 공격 속성 및 특징
서브도메일링 공격은 고유한 특성으로 인해 성공률이 높을 것으로 예상할 수 있습니다. 가디오는 서브도메일링이 고도로 정교한 전술을 사용하여 유명 브랜드 이름의 합법적인 하위 도메인을 조작한다고 설명합니다. 이러한 공격은 탐지하기가 매우 어려웠으며 가디오의 사이버 보안 전문가들의 철저한 조사가 필요했습니다.
서브도메일 공격의 성공률이 높은 이유
서브도메일링 공격은 다음과 같은 특성으로 인해 의심하지 않는 여러 사용자에게 심각한 피해를 줄 수 있는 잠재력을 가지고 있습니다:
- 평판이 확립된 유명 브랜드 사칭
- 8000개 이상의 도메인을 조작하여 대규모로 운영 중입니다.
- 스팸 필터 우회하기
- 신뢰할 수 있는 이미지 기반 메시지를 큐레이션하여 이메일 콘텐츠 필터 우회하기
- 공격자는 사용자의 디바이스 유형과 위치를 분석하여 더 많은 표적 공격을 실행합니다.
- 악성 이메일이 통과한 이메일 인증 SPF, DKIM, DMARC 등의 검사를 통과했습니다.
서브도메일링 피싱 이메일은 어떻게 이메일 인증 검사를 우회하나요?
Guardio에서 조사한 사용 사례 중 하나를 예로 들어 보겠습니다. Guardio는 msn.com의 특정 하위 도메인에서 발신된 피싱 이메일을 여러 개 발견했습니다.
가디오는 이 악성 이메일을 자세히 조사한 결과 우크라이나 키예프에 있는 서버에서 보낸 것으로 확인했습니다. 이상적으로는 이 이메일이 의심스러운 것으로 플래그가 지정되었을 것입니다. SPF 검사 중에 의심스러운 것으로 표시되었을 것입니다. 확인 결과 msn.com의 하위 도메인이 의심스러운 IP 주소를 승인한 것으로 밝혀졌습니다.
이는 다음 이유 중 하나 때문일 수 있습니다:
- MSN 직원이 피싱 이메일을 보내기 위해 의도적으로 IP 주소를 승인한 내부자 위협일 수 있습니다.
- 오타로 인해 의도치 않게 서버에 권한이 부여된 단순한 인적 오류일 수 있습니다.
- 이는 외부 위협이 서버에 권한을 부여하기 위해 MSN 하위 도메인이 외부 위협에 의해 탈취되어 서버에 권한을 부여한 것일 수 있습니다.
가디오 전문가들은 msn.com 하위 도메인의 SPF 레코드를 추가로 조사한 결과, 도메인을 대신하여 이메일을 보낼 수 있는 권한이 있는 17826개의 중첩된 IP 주소로 이루어진 토끼굴을 발견했습니다. SPF 기록의 복잡성은 인증 필터를 조작하기 위해 매우 의심스럽지만 신중하게 만들어진 접근 방식을 암시했습니다. 더 중요한 것은 조사 결과 이 MSN 하위 도메인이 CNAME DNS 레코드를 통해 다른 도메인을 가리키고 있다는 사실이 밝혀졌다는 점입니다. 따라서 공격자가 다른 도메인을 구입하면 MSN 하위 도메인을 탈취할 수 있었습니다.
그렇다면 공격자들은 어떻게 이를 달성했을까요? 알아봅시다:
서브도메일링에 비활성/폐기된 하위 도메인 사용
Guardio는 인터넷 아카이브를 사용하여 msn.com 하위 도메인이 실제로 MSN에 의해 소유권이 이전되었는지 여부를 자세히 조사했습니다. 그 결과 이 하위 도메인은 22년 전에 활성화된 것으로 밝혀졌습니다. 최근까지 20년 넘게 방치되어 있었던 것입니다!
그래서 이런 일이 벌어졌습니다:
- 위협 행위자가 하위 도메인과 연결된 도메인을 구입했습니다. 22년이 지난 후에도 링크가 여전히 존재했기 때문에 도메인을 탈취할 수 있었습니다.
- 이제 공격자들은 원하는 방식으로 자유롭게 조작할 수 있었습니다! 공격자는 하위 도메인의 SPF 레코드에서 자신의 서버에 권한을 부여하여 하위 도메인을 대신하여 인증된 피싱 이메일을 보낼 수 있었습니다.
- 그들은 이 기회를 이용하여 합법적인 발신자로 가장하여 msn.com으로 위장하여 수백만 개의 사기성 이메일을 보냈습니다.
서브도메일링용 SPF 레코드 조작
서브도메일링의 경우, 탈취된 하위 도메인의 SPF 레코드에 여러 개의 버려진 도메인이 호스팅되어 있었습니다. 이러한 도메인은 공격자 소유의 SMTP 서버에 권한을 부여하기 위해 추가로 획득되었습니다. SPF 정책의 특성에 따라 하위 도메인은 공격자가 제어하는 이러한 모든 서버를 합법적인 이메일 발신자로 승인하게 됩니다.
SPF를 사용하는 이유는 바로 합법적인 발신자를 인증하기 위해서입니다. 이는 회사가 외부 이메일 공급업체를 사용하여 이메일을 보낼 때 매우 중요합니다. 또한 사기성 소스가 도메인을 대신하여 이메일을 보낼 가능성도 제거합니다. 이 전형적인 SPF 레코드 조작 사례에서는 이메일을 인증하는 데 SPF를 사용하는 이점이 악의적인 발신자에게 권한을 부여하는 데 악용되었습니다.
서브도메일링 공격 예방하기: 기업은 무엇을 할 수 있나요?
서브도메일링과 같은 지능형 형태의 하위 도메인 하이재킹 공격에는 사전 예방 전략이 필요합니다. 시작 방법은 다음과 같습니다:
댕글링 DNS 레코드 방지
구성이 해제된 도메인이나 더 이상 사용되지 않는 서버를 가리키는 DNS 항목은 서브도메일링으로 이어질 수 있습니다. DNS 레코드를 정기적으로 업데이트하고 오래된 소스를 승인하지 않도록 하세요. 관리 중인 활성 도메인 또는 서버만 DNS 레코드에서 가리키도록 해야 합니다. 또한 이메일 공급업체가 전송 목록을 깨끗하게 유지하고 더 이상 사용하지 않는 서버를 제거하는지 확인해야 합니다.
이메일 채널 모니터링
DMARC 보고서를 구성하는 것만으로는 충분하지 않으며 보고서를 모니터링하는 것이 수반되어야 합니다. 도메인 소유자는 이메일 전송 관행을 항상 인지하고 있어야 합니다. 이메일 양이 많으면 전용 사서함을 사용해도 이를 달성하기 어렵습니다. 그렇기 때문에 PowerDMARC와 같은 타사 공급업체가 필요합니다. 고급 필터링 기능을 갖춘 클라우드 기반 대시보드에서 발신 출처와 이메일 활동을 모니터링할 수 있도록 도와드립니다. 하위 도메인은 플랫폼에서 자동 감지되므로 이를 면밀히 주시할 수 있습니다. 이를 통해 의심스러운 활동을 즉시 발견할 수 있습니다!
하위 도메인 관리
오늘부터 모든 발신 소스를 다시 평가해야 한다는 경각심을 불러일으키고 있습니다. 먼저 SPF 검사 무료 도구로 시작하세요!
SPF 상태의 '포함' 메커니즘을 평가하여 포함된 도메인과 하위 도메인을 확인합니다. 이러한 도메인은 루트 도메인을 대신하여 이메일을 보낼 수 있는 권한이 있는 IP 주소로 SPF 레코드를 호스팅하고 있습니다. 더 이상 사용하지 않는 하위 도메인을 발견하면 해당 도메인의 '포함'을 제거해야 합니다. DNS 편집 영역으로 이동하여 필요한 변경을 수행할 수 있습니다.
사이버 공격으로부터 보호하기 위한 추가 팁
- CNAME 레코드가 항상 최신 상태인지 확인하고 더 이상 사용하지 않는 CNAME 레코드는 비활성화하거나 제거합니다.
- 기록의 SPF 메커니즘도 최신 상태인지 확인하고 더 이상 사용하지 않는 전송 서비스를 제거하세요.
- 합법적인 소스가 DMARC 호환 이메일을 보내도록 구성하고 도메인 및 하위 도메인에 대해 거부하도록 DMARC 정책을 설정하세요.
- 파킹된 도메인 및 하위 도메인을 보호하세요.
- 사용하지 않는 하위 도메인 및 DNS 레코드 제거
- 소유하고 있는 모든 도메인에 대한 보고를 설정하여 도메인 및 하위 도메인에서 보낸 이메일을 지속적으로 검토하세요.
PowerDMARC로 도메인 보호하기
PowerDMARC는 도메인 이름을 보호하는 데 도움을 줄 수 있습니다! 당사의 플랫폼은 도메인 소유자가 가시성과 모니터링을 통해 자신의 도메인에 대한 통제권을 되찾을 수 있도록 설계되었습니다. 이메일 활동의 내부와 외부에 대한 세분화된 세부 정보를 제공하여 발신 소스와 이메일 트래픽을 추적할 수 있도록 도와드립니다. 이를 통해 도메인 활동의 비정상적인 패턴, 도메인을 사칭하는 악성 IP를 감지하고 브랜드 이름을 스푸핑하는 서버의 지리적 위치까지 파악할 수 있습니다.
당사와 함께 도메인 보안 여정을 시작하세요, 문의하기 에 문의하여 지금 바로 전문가와 상담하세요!
- SMTP 야후 오류 코드 설명 - 2024년 5월 1일
- SPF 소프트 페일 대 하드 페일: 차이점은 무엇인가요? - 2024년 4월 26일
- FTC, 이메일이 사칭 사기의 인기 매체라는 보고서 발표 - 2024년 4월 16일