C

yberprzestępcy często wykorzystują nazwy domen do różnych niecnych celów: do komunikacji z serwerami C&C, dystrybucji złośliwego oprogramowania, oszustw finansowych i phishingu. Dokonując tych działań przestępcy mają do wyboru albo kupować nowe nazwy domen (złośliwa rejestracja na fałszywe dane) albo skompromitować już istniejące (przechwytując rekordy DNS). Przechwytywanie DNS obejmuje: kradzież danych logowania właściciela domeny u rejestratora lub dostawcy usługi DNS, włamanie się do rejestratora lub dostawcy usługi DNS, włamanie się do samego serwera DNS, zatruwanie pamięci serwerów DNS lub przejęcie nieużywanych subdomen.

Ostatnio uwypukliła się też inna technika polegająca na zacienianiu domeny (ang. domain shadowing). Można powiedzieć, że jest to podkategoria przechwytywania DNS, w której atakujący próbują pozostać “w cieniu” normalnej domeny. Po pierwsze cyberprzestępcy potajemnie umieszczają subdomeny pod przejętą nazwą domeny. Po drugie nie ingerują w istniejące rekordy, aby umożliwić normalne działanie usług, takich jak strony internetowe, serwery poczty elektronicznej i wszystkie inne usługi korzystające ze skompromitowanej domeny. Zapewniając niezakłócone działanie istniejących usług, przestępcy sprawiają, że włamanie nie rzuca się w oczy dla właścicieli domen, a zauważenie i usunięcie szkodliwych rekordów staje się mało prawdopodobne. W rezultacie ukrywanie złośliwych subdomen w cieniu normalnych rekordów zapewnia atakującym dostęp do praktycznie nieograniczonej liczby poddomen dziedziczących niegroźną reputację przejętej domeny.

Gdy dochodzi do modyfikacji istniejących rekordów domen to cyberprzestępcy jawnie mają na celu zaatakowanie właścicieli lub użytkowników danej domeny. Jednak domain shadowing służy do włączenia kawałka domeny do swojej szemranej infrastruktury, aby wspierać takie przedsięwzięcia, jak kampanie phishingowe, sterowanie botnetem, złośliwe przekierowania lub proxy do ukrycia komunikacji C2. Poniżej znajduje się przykład ataku na domenę, której wpisy istnieją od wielu lat dzięki czemu zyskały dobrą reputację. Możemy zaobserwować, że adresy IP przyjaznych subdomen znajdują się w Polsce (PL). Podejrzane jest, że wszystkie inne domeny, które są dość świeże są w innym kraju (RU) i systemie autonomicznym niż domena nadrzędna. Co więcej, wszystkie domeny ukryte w cieniu używają adresu IP z tej samej podsieci /24

Domena:                     Adres IP:          Kraj:          Czas aktywności:
-------                     ---------          -----          ----------------
uniwerek.edu                158.153.249.148    PL             9 lat
kurs.uniwerek.edu           62.204.41.218      RU             1 miesiąc
usosweb.uniwerek.edu        158.0.112.230      PL             5 lat
xebghokamu.uniwerek.edu     62.204.41.77       RU             2 dni
login.uniwerek.edu          158.13.50.1        PL             7 lat
paypal.uniwerek.edu         62.204.41.247      RU             5 dni

Dla właścicieli domen istnienie ukrytych w cieniu rekordów może być trudne do wykrycia, ponieważ cyberprzestępcy unikają ingerencji w już istniejące. Jeśli nasz usługodawca nie obsługuje powiadomień różnymi kanałami dotyczących modyfikacji strefy DNS pozostaje nam przeprowadzanie regularnych kontroli. Środkiem zaradczym przeciwko atakom na konta zarządzające domenami jest używanie silnych haseł z uwierzytelnianiem dwuskładnikowym. Jeśli jesteśmy administratorami serwerów DNS możemy wypracować mechanizmy sprawdzania sum kontrolnych oraz numerów seryjnych, które w przypadku braku zgodności wygenerują odpowiednie powiadomienie. Ostatnim etapem włamania będą jawne skargi użytkowników lub zablokowanie wybranej subdomeny z powodu powiązanej złośliwej aktywności.

Więcej informacji: Domain Shadowing: A Stealthy Use of DNS Compromise for Cybercrime, Threat Spotlight: Angler Lurking in the Domain Shadows,