Guardio Labs natknęło się na poważny przypadek przejęcia subdomeny, który dotknął tysiące subdomen. Stworzyli termin "SubdoMailing", aby opisać ten łańcuch ataków, który wykorzystuje zagrożone subdomeny renomowanych firm do wysyłania złośliwych wiadomości e-mail. Dochodzenia wykazały, że złośliwa kampania jest aktywna od 2022 roku.
SubdoMailing można uznać za rozwiniętą formę ataku socjotechnicznego, który wykorzystuje niezawodność dobrze rozpoznawalnych subdomen. Atakujący prowadzą tę złośliwą kampanię na dużą skalę, wysyłając miliony wiadomości phishingowych z przejętych subdomen.
Wyjaśnienie przejęcia subdomeny
W przypadku przejęcia subdomeny atakujący przejmują kontrolę nad subdomeną powiązaną z legalną domeną główną, która następnie staje się pożywką dla różnych złośliwych działań. Przejęta subdomena może być wykorzystywana do uruchamiania kampanii phishingowych, rozpowszechniania nieodpowiednich treści, sprzedaży nielegalnych substancji lub rozprzestrzeniania oprogramowania ransomware.
Najczęściej nieaktywne subdomeny leżą uśpione przez długi czas. Co jeszcze bardziej niebezpieczne, te subdomeny mają wiszące rekordy DNS które torują drogę do przejęcia subdomeny. Gdy atakujący przejmie kontrolę nad tymi subdomenami - może mu wiele ujść na sucho!
Kiedy obsługujesz nazwę domeny z kilkoma subdomenami, łatwo jest odwrócić się plecami i pozostawić otwarte drzwi. Niezależnie od tego, czy jesteś przedsiębiorstwem, czy małą firmą, niezabezpieczenie subdomen może prowadzić do incydentów takich jak SubdoMailing lub innych form nadużywania subdomen.
Jak działają ataki SubdoMailing?
An artykuł autorstwa Guardio stwierdzono, że firma wykryła podejrzany ruch e-mail pochodzący z tysięcy pozornie legalnych subdomen renomowanych marek. Wśród nich znalazły się takie wielkie marki jak MSN, VMware, McAfee, The Economist, Cornell University, CBS, Marvel, eBay i wiele innych!
E-maile te wykorzystywały poczucie pilności, aby zmanipulować użytkowników do kliknięcia niebezpiecznych linków. Przekierowywały one użytkowników do szkodliwych miejsc docelowych. Od inwazyjnych reklam po bardziej niebezpieczne strony phishingowe, których celem była kradzież poufnych informacji.
Przykład SubdoMailing
Powyższy przykład to klasyczny przypadek SubdoMailingu odkryty przez Guardio. Wiadomości e-mail pochodzące ze skompromitowanej subdomeny Cash App były rozpowszechniane wśród milionów użytkowników. Wiadomość ta wyświetlała ostrzeżenie o konieczności potwierdzenia oczekujących środków na ich kontach Cash App. Wiadomość zawierała kilka potencjalnie złośliwych przekierowań.
Złośliwe załączniki do wiadomości e-mail i linki, które są starannie spreparowane, są bardzo trudne do zignorowania. Zwłaszcza, gdy są one dołączone do wiadomości ostrzegawczej, która wymaga natychmiastowej uwagi. Oczywiście w takich sytuacjach jest bardzo prawdopodobne, że użytkownicy klikną na linki i padną ofiarą cyberataku.
Atrybuty i funkcje ataku SubdoMailing
Ataki SubdoMailing mogą mieć wysoki wskaźnik powodzenia ze względu na ich unikalne cechy. Guardio wyjaśnia, że SubdoMailing wykorzystuje wysoce wyrafinowane taktyki do manipulowania legalnymi subdomenami tak popularnych marek. Ataki te były bardzo trudne do wykrycia i wymagały dokładnego zbadania przez ekspertów Guardio ds. cyberbezpieczeństwa.
Dlaczego ataki SubdoMailing mogą mieć wysoki wskaźnik skuteczności
Widzimy realny potencjał w atakach SubdoMailing, aby poważnie zaszkodzić kilku niczego niepodejrzewającym użytkownikom, ze względu na następujące cechy:
- Podszywanie się pod znane marki o ustalonej reputacji
- Działanie na dużą skalę poprzez manipulowanie ponad 8000 domen i liczenie ich liczby
- Omijanie filtrów antyspamowych
- Omijanie filtrów treści wiadomości e-mail poprzez selekcjonowanie wiarygodnych wiadomości opartych na obrazach.
- Atakujący analizują typ urządzenia i lokalizację użytkownika, aby przeprowadzać bardziej ukierunkowane ataki.
- Złośliwe wiadomości e-mail przeszły uwierzytelnianie wiadomości e-mail takie jak SPF, DKIM i DMARC.
W jaki sposób wiadomości phishingowe SubdoMailing omijają kontrole uwierzytelniania poczty e-mail?
Weźmy przykład jednego z przypadków użycia zbadanych przez Guardio. Guardio znalazł kilka wiadomości phishingowych pochodzących z określonej subdomeny msn.com.
Po bliższym przyjrzeniu się tym złośliwym wiadomościom e-mail, Guardio odkrył, że zostały one wysłane z serwera znajdującego się w ukraińskim mieście Kijów. W idealnej sytuacji zostałoby to oznaczone jako podejrzane podczas weryfikacji SPF chyba że adres IP serwera był autoryzowany. Po sprawdzeniu okazało się, że subdomena msn.com autoryzowała podejrzany adres IP.
Może to wynikać z jednego z poniższych powodów:
- Może to być zagrożenie wewnętrzne, w którym pracownik MSN celowo autoryzował adres IP do wysyłania wiadomości phishingowych
- Może to być zwykły błąd ludzki, w którym serwer został nieumyślnie autoryzowany z powodu literówki
- Może to być bardziej zaawansowana forma manipulacji DNS, w której subdomena subdomena MSN została przejęta przez zewnętrzne zagrożenie w celu autoryzacji serwera
Dalsze badanie rekordu SPF dla subdomeny msn.com zaprowadziło ekspertów Guardio do króliczej nory 17826 zagnieżdżonych adresów IP, które są upoważnione do wysyłania wiadomości e-mail w imieniu domeny. Sama złożoność rekordu SPF wskazywała na wysoce podejrzane, ale starannie opracowane podejście do manipulowania filtrami uwierzytelniającymi. Co ważniejsze, dochodzenie ujawniło, że ta subdomena MSN wskazywała na inną domenę za pośrednictwem rekordu DNS CNAME. W związku z tym, gdy atakujący kupił inną domenę, umożliwiło mu to przejęcie subdomeny MSN.
Jak więc atakujący to osiągnęli? Dowiedzmy się:
Używanie nieaktywnych/opuszczonych subdomen dla SubdoMailingu
Guardio wykorzystał archiwa internetowe, aby dowiedzieć się, czy subdomena msn.com była faktycznie zastrzeżona przez MSN. Okazało się, że subdomena była aktywna 22 lata temu. Leżała porzucona przez ponad dwie dekady - aż do niedawna!
Oto co się stało:
- Podmiot stanowiący zagrożenie kupił domenę, która była powiązana z subdomeną. Ponieważ link nadal istniał 22 lata później, był w stanie przejąć domenę.
- Teraz mogli nią manipulować w dowolny sposób! Atakujący autoryzowali własne serwery w rekordzie SPF subdomeny, co pozwoliło im wysyłać uwierzytelnione wiadomości phishingowe w imieniu subdomeny.
- Wykorzystali tę okazję do wysłania milionów oszukańczych wiadomości e-mail pod przykrywką msn.com, podając się za legalnych nadawców.
Manipulacja rekordami SPF dla SubdoMailingu
W przypadku SubdoMailing, rekord SPF porwanej subdomeny zawierał kilka porzuconych domen. Domeny te zostały następnie przejęte w celu autoryzacji serwerów SMTP należących do atakującego. Zgodnie z naturą polityki SPF, subdomena ostatecznie autoryzuje wszystkie te kontrolowane przez atakujących serwery jako legalnych nadawców wiadomości e-mail.
Powodem, dla którego używamy SPF jest autoryzacja legalnych nadawców. Staje się to bardzo ważne, gdy firma korzysta z zewnętrznych dostawców poczty e-mail do wysyłania wiadomości e-mail. Eliminuje to również ryzyko nieuczciwych źródeł wysyłających wiadomości e-mail w imieniu domeny. W tym klasycznym przypadku manipulacji rekordem SPF, korzyść z używania SPF do uwierzytelniania wiadomości e-mail została nadużyta do autoryzacji złośliwych nadawców.
Zapobieganie atakom SubdoMailing: Co mogą zrobić firmy?
Zaawansowana forma ataku typu subdomain hijacking, taka jak SubdoMailing, wymaga proaktywnej strategii zapobiegania. Oto jak możesz zacząć:
Zapobieganie niedziałającym rekordom DNS
Wpisy DNS wskazujące na domeny, które zostały zdekonfigurowane lub serwery, które nie są już używane, mogą prowadzić do SubdoMailingu. Upewnij się, że regularnie aktualizujesz swoje rekordy DNS i nie autoryzujesz nieaktualnych źródeł. Tylko aktywne domeny lub serwery, które kontrolujesz, powinny być wskazywane w rekordach DNS. Należy również upewnić się, że dostawcy poczty e-mail utrzymują swoje listy wysyłkowe w czystości i usuwają serwery, które nie są już używane.
Monitorowanie kanałów e-mail
Konfiguracja raportów DMARC nie wystarczy, powinno jej towarzyszyć monitorowanie raportów. Jako właściciel domeny, powinieneś być świadomy swoich praktyk wysyłania wiadomości e-mail przez cały czas. Przy dużej ilości wiadomości e-mail jest to trudne do osiągnięcia nawet przy użyciu dedykowanej skrzynki pocztowej. Dlatego właśnie potrzebny jest zewnętrzny dostawca, taki jak PowerDMARC. Pomagamy monitorować źródła wysyłania i aktywność poczty elektronicznej na opartym na chmurze pulpicie nawigacyjnym z zaawansowanymi funkcjami filtrowania. Subdomeny są automatycznie wykrywane na naszej platformie, co pomaga w ich dokładnym monitorowaniu. Pozwala to na natychmiastowe wykrycie wszelkich podejrzanych działań!
Przejmij kontrolę nad swoimi subdomenami
Jest to sygnał alarmowy do ponownej oceny wszystkich źródeł wysyłania już dziś. Zacznij od przeprowadzenia sprawdzenie SPF za pomocą naszego bezpłatnego narzędzia!
Sprawdź mechanizmy "include" w statusie SPF, aby sprawdzić dołączone domeny i subdomeny. Domeny te hostują rekordy SPF, z adresami IP autoryzowanymi do wysyłania wiadomości e-mail w imieniu domeny głównej. Jeśli znajdziesz subdomenę, której już nie używasz - nadszedł czas, aby usunąć dla niej "include". Możesz przejść do strefy edycji DNS, aby wprowadzić wymagane zmiany.
Dodatkowe wskazówki dotyczące ochrony przed cyberatakami
- Upewnij się, że rekordy CNAME są zawsze aktualne i wyłącz lub usuń rekordy CNAME, których już nie używasz.
- Upewnij się również, że mechanizmy SPF w twoim rekordzie są aktualne, usuń wszelkie usługi wysyłania, z których już nie korzystasz.
- Skonfiguruj swoje legalne źródła do wysyłania wiadomości e-mail zgodnych z DMARC i ustaw politykę DMARC na odrzucanie domen i subdomen.
- Ochrona zaparkowanych domen i subdomen
- Usuwanie nieużywanych subdomen i rekordów DNS
- Ciągłe sprawdzanie wiadomości e-mail wysyłanych z domen i subdomen poprzez skonfigurowanie raportowania dla wszystkich posiadanych domen.
Ochrona domen za pomocą PowerDMARC
PowerDMARC może pomóc Ci zabezpieczyć Twoje nazwy domen! Nasza platforma została zaprojektowana, aby umożliwić właścicielom domen odzyskanie kontroli nad własnymi domenami poprzez ich widoczność i monitorowanie. Pomagamy śledzić źródła wysyłania i ruch e-mailowy, przedstawiając szczegółowe informacje na temat tajników aktywności e-mailowej. Pomaga to wykrywać nietypowe wzorce w aktywności domeny, złośliwe adresy IP podszywające się pod domenę, a nawet odkrywać lokalizacje geograficzne serwerów podszywających się pod Twoją markę.
Rozpocznij z nami swoją przygodę z bezpieczeństwem domen, skontaktuj się z nami aby porozmawiać z ekspertem już dziś!
- Yahoo Japan zaleca użytkownikom przyjęcie DMARC w 2025 roku - 17 stycznia 2025 r.
- Botnet MikroTik wykorzystuje błędne konfiguracje SPF do rozprzestrzeniania złośliwego oprogramowania - 17 stycznia 2025 r.
- Nieuwierzytelniona poczta DMARC jest zabroniona [ROZWIĄZANE] - 14 stycznia 2025 r.