C
yberprzestępcy często wykorzystują nazwy domen do różnych niecnych celów: do komunikacji z serwerami C&C, dystrybucji złośliwego oprogramowania, oszustw finansowych i phishingu. Dokonując tych działań przestępcy mają do wyboru albo kupować nowe nazwy domen (złośliwa rejestracja na fałszywe dane) albo skompromitować już istniejące (przechwytując rekordy DNS). Przechwytywanie DNS obejmuje: kradzież danych logowania właściciela domeny u rejestratora lub dostawcy usługi DNS, włamanie się do rejestratora lub dostawcy usługi DNS, włamanie się do samego serwera DNS, zatruwanie pamięci serwerów DNS lub przejęcie nieużywanych subdomen.
Ostatnio uwypukliła się też inna technika polegająca na zacienianiu domeny (ang. domain shadowing). Można powiedzieć, iż jest to podkategoria przechwytywania DNS, w której atakujący próbują pozostać „w cieniu” normalnej domeny. Po pierwsze cyberprzestępcy potajemnie umieszczają subdomeny pod przejętą nazwą domeny. Po drugie nie ingerują w istniejące rekordy, aby umożliwić normalne działanie usług, takich jak strony internetowe, serwery poczty elektronicznej i wszystkie inne usługi korzystające ze skompromitowanej domeny. Zapewniając niezakłócone działanie istniejących usług, przestępcy sprawiają, iż włamanie nie rzuca się w oczy dla właścicieli domen, a zauważenie i usunięcie szkodliwych rekordów staje się mało prawdopodobne. W rezultacie ukrywanie złośliwych subdomen w cieniu normalnych rekordów zapewnia atakującym dostęp do praktycznie nieograniczonej liczby poddomen dziedziczących niegroźną reputację przejętej domeny.
Gdy dochodzi do modyfikacji istniejących rekordów domen to cyberprzestępcy jawnie mają na celu zaatakowanie właścicieli lub użytkowników danej domeny. Jednak domain shadowing służy do włączenia kawałka domeny do swojej szemranej infrastruktury, aby wspierać takie przedsięwzięcia, jak kampanie phishingowe, sterowanie botnetem, złośliwe przekierowania lub proxy do ukrycia komunikacji C2. Poniżej znajduje się przykład ataku na domenę, której wpisy istnieją od wielu lat dzięki czemu zyskały dobrą reputację. Możemy zaobserwować, iż adresy IP przyjaznych subdomen znajdują się w Polsce (PL). Podejrzane jest, iż wszystkie inne domeny, które są dość świeże są w innym kraju (RU) i systemie autonomicznym niż domena nadrzędna. Co więcej, wszystkie domeny ukryte w cieniu używają adresu IP z tej samej podsieci /24
Domena: Adres IP: Kraj: Czas aktywności: ------- --------- ----- ---------------- uniwerek.edu 158.153.249.148 PL 9 lat kurs.uniwerek.edu 62.204.41.218 RU 1 miesiąc usosweb.uniwerek.edu 158.0.112.230 PL 5 lat xebghokamu.uniwerek.edu 62.204.41.77 RU 2 dni login.uniwerek.edu 158.13.50.1 PL 7 lat paypal.uniwerek.edu 62.204.41.247 RU 5 dniDla właścicieli domen istnienie ukrytych w cieniu rekordów może być trudne do wykrycia, ponieważ cyberprzestępcy unikają ingerencji w już istniejące. jeżeli nasz usługodawca nie obsługuje powiadomień różnymi kanałami dotyczących modyfikacji strefy DNS pozostaje nam przeprowadzanie regularnych kontroli. Środkiem zaradczym przeciwko atakom na konta zarządzające domenami jest używanie silnych haseł z uwierzytelnianiem dwuskładnikowym. jeżeli jesteśmy administratorami serwerów DNS możemy wypracować mechanizmy sprawdzania sum kontrolnych oraz numerów seryjnych, które w przypadku braku zgodności wygenerują odpowiednie powiadomienie. Ostatnim etapem włamania będą jawne skargi użytkowników lub zablokowanie wybranej subdomeny z powodu powiązanej złośliwej aktywności.
Więcej informacji: Domain Shadowing: A Stealthy Use of DNS Compromise for Cybercrime, Threat Spotlight: Angler Lurking in the Domain Shadows,
