SubdoMailing 和子域名网络钓鱼的兴起

Yunes Tarada

2个月前

阅读时间 6 分钟

Guardio Labs 发现了一起严重的子域劫持事件，影响了数千个子域。他们创造了 "SubdoMailing "一词来描述这种利用知名公司的受威胁子域来发送恶意电子邮件的攻击链。调查发现，该恶意活动自 2022 年以来一直很活跃。

SubdoMailing 可以被认为是社会工程学攻击的一种进化形式，它利用了公认子域的可靠性。攻击者通过从被劫持的子域发送数百万封钓鱼邮件，大规模地实施这种恶意攻击活动。

子域劫持详解

在子域劫持中，攻击者会控制一个与合法根域相关的子域，然后该子域就会成为各种恶意活动的温床。被劫持的子域可用于发起网络钓鱼活动、传播不当内容、销售非法物质或传播勒索软件。

不活跃的子域往往长期处于休眠状态。更危险的是，这些子域有悬空 DNS 记录为子域劫持铺平了道路。一旦攻击者控制了这些子域，他们就可以逍遥法外！

当您在运营一个拥有多个子域的域名时，很容易出现背对背、不锁门的情况。无论您是企业还是小企业，如果不能确保子域的安全，都可能导致 SubdoMailing 或其他形式的子域滥用事件。

SubdoMailing 攻击如何工作？

一篇的一篇文章的一篇文章指出，该公司发现数千个知名品牌的看似合法的子域中产生了可疑的电子邮件流量。其中包括 MSN、VMware、McAfee、《经济学家》、康奈尔大学、哥伦比亚广播公司、Marvel、eBay 等大品牌！

这些电子邮件利用紧迫感操纵用户点击可疑链接。这些链接将用户重定向到有害的目的地。其中既有侵入性广告，也有旨在窃取敏感信息的更危险的钓鱼网站。

SubdoMailing 示例

来源

上图所示示例是 Guardio 发现的 SubdoMailing 典型案例。数百万用户收到了来自被入侵的 Cash App 子域的电子邮件。这封邮件显示了一条警告信息，要求用户确认 Cash App 账户的待付资金。该电子邮件包含几个潜在的恶意重定向。

精心制作的恶意电子邮件附件和链接很难被忽视。尤其是当它们附带有需要立即注意的警告信息时。当然，在这种情况下，用户很可能会点击链接，成为网络攻击的受害者。

SubdoMailing 攻击属性和功能

由于 SubdoMailing 攻击的独特性，预计其成功率很高。Guardio 解释说，SubdoMailing 使用高度复杂的策略来操纵此类流行品牌的合法子域。这些攻击很难被发现，需要 Guardio 的网络安全专家进行彻底调查。

为什么 SubdoMailing 攻击的成功率很高

我们发现 SubdoMailing 攻击确实有可能严重危害一些毫无戒心的用户，这是因为它具有以下特点：

假冒享有盛誉的知名品牌
通过操纵 8000 多个域名（还在不断增加中）进行大规模操作
绕过垃圾邮件过滤器
通过策划可信的图像信息绕过电子邮件内容过滤器
攻击者分析你的设备类型和位置，以发起更有针对性的攻击
恶意电子邮件通过了电子邮件验证检查，如 SPF、DKIM 和DMARC

SubdoMailing 如何绕过电子邮件验证检查？

让我们以 Guardio 调查的其中一个使用案例为例。Guardio 发现了几封来自 msn.com 某个子域的网络钓鱼电子邮件。

Guardio 在仔细检查这些恶意电子邮件时发现，它们是从乌克兰基辅市的一个服务器发送的。理想情况下，在进行 SPF检查时会被标记为可疑，除非服务器的 IP 地址经过授权。经检查发现，msn.com 的一个子域授权了该可疑 IP 地址。

这可能是以下原因之一：

这可能是一种内部威胁，即 MSN 员工故意授权 IP 地址发送网络钓鱼电子邮件
这可能是一个简单的人为错误，即服务器因错字而无意中获得授权
这可能是一种更高级的 DNS 操纵，即 MSN 子域被外部威胁劫持，以授权服务器

通过进一步检查 msn.com 子域的 SPF 记录，Guardio 专家发现了一个由 17826 个嵌套 IP 地址组成的兔子洞，这些 IP 地址被授权代表该域发送电子邮件。SPF 记录的错综复杂暗示了一种非常可疑但又经过精心设计的操纵身份验证过滤器的方法。更重要的是，调查发现该 MSN 子域通过 CNAME DNS 记录指向另一个域。因此，一旦攻击者购买了另一个域，就可以劫持 MSN 子域。

那么，攻击者是如何做到这一点的呢？让我们一探究竟：

在 SubdoMailing 中使用不活动/废弃的子域

Guardio 利用互联网档案深入了解 msn.com 子域是否确实由 MSN 申请。结果发现，该子域在 22 年前就已活跃。直到最近，该子域已被废弃了二十多年！

事情是这样的

一个威胁行为者购买了与子域链接的域名。由于该链接在 22 年后仍然存在，因此他们能够劫持该域名。
现在，他们可以随心所欲地操纵它了！攻击者在子域的 SPF 记录中授权了自己的服务器，从而可以代表子域发送经过验证的网络钓鱼电子邮件。
他们利用这个机会，以 msn.com 为幌子，冒充合法发件人发送了数百万封欺诈性电子邮件。

为 SubdoMailing 操作 SPF 记录

在 SubdoMailing 案例中，被劫持子域的 SPF 记录托管了多个废弃域名。这些域名被进一步获取，以授权攻击者拥有的 SMTP 服务器。根据 SPF 策略的性质，子域最终会将所有这些由攻击者控制的服务器授权为合法的电子邮件发送者。

我们使用 SPF 的根本原因是为了授权合法发件人。当公司使用外部电子邮件供应商发送电子邮件时，这一点就变得非常重要。这也消除了欺诈来源代表域名发送电子邮件的可能性。在这个典型的 SPF 记录操纵案例中，使用 SPF 验证电子邮件的优势被滥用于授权恶意发件人。

预防 SubdoMailing 攻击：企业可以做些什么？

像 SubdoMailing 这样的高级子域劫持攻击需要采取积极的预防策略。您可以从以下方面入手：

防止悬空的 DNS 记录

指向已取消配置的域或不再使用的服务器的 DNS 条目可能会导致 SubdoMailing。请确保您定期更新 DNS 记录，并且不授权过时的来源。DNS 记录中应只指向您控制的活动域或服务器。您还应确保您的电子邮件供应商保持发送列表的清洁，并删除不再使用的服务器。

监控您的电子邮件渠道

仅配置DMARC 报告是不够的，还应该对报告进行监控。作为域名所有者，您应该随时了解自己的电子邮件发送行为。由于电子邮件数量庞大，即使有专用邮箱也很难做到这一点。因此，您需要像 PowerDMARC 这样的第三方供应商。我们可以帮助您在基于云的仪表板上监控发送源和电子邮件活动，并提供高级过滤功能。我们的平台会自动检测子域，帮助您密切关注它们。这样，您就可以立即发现任何可疑活动！