Наверняка вы неоднократно получали спам или фишинговые письма с почтовых адресов, принадлежащих известным организациям.
Возможно, вы при этом задумывались о том, как же злоумышленникам удается это делать. А может быть, даже задавались закономерным вопросом, не рассылает ли кто-нибудь вредоносные письма и от имени вашей компании.
Вообще говоря, для борьбы с письмами, отправленными от чужого имени, существует несколько технологий: Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) и Domain-based Message Authentication Reporting and Conformance (DMARC). К сожалению, время от времени обнаруживаются способы обхода этих методов защиты. В этом посте мы поговорим об одной из техник, которые используют спамеры для того, чтобы рассылать письма с адресов легитимных организаций, — об угоне доменов.
Операторы кампании SubdoMailing постоянно ищут подходящие домены компаний, срок регистрации которых истек, и заново регистрируют их на себя: в среднем таким образом они захватывают несколько десятков легитимных доменов в день. Ну а рекорд они поставили в июне 2023 года, зарегистрировав за один день целых 72 чужих домена.
Чтобы избегать попадания захваченных доменов в спам-листы, злоумышленники применяют постоянную ротацию: домен используется для рассылки спама 1–2 дня, после чего он на долгое время становится неактивным, а в это время спамеры переходят на использование следующего. Через пару дней они оставляют в покое и его, подключают к рассылке новый — и так далее.
Простейший пример записи CNAME — субдомен www, который обычно перенаправляет на основной домен, то есть:
Возьмем company2020promo.com из нашего примера — допустим, этот домен был заброшен компанией после промоакции, проведенной несколько лет назад, но запись CNAME администраторы забыли удалить. В таком случае получается, что злоумышленники могут зарегистрировать этот домен на себя и автоматически получить контроль над субдоменом promo.company.com.
В частности, после этого они получают возможность авторизовать почтовые серверы, расположенные на принадлежащих им IP-адресах, на рассылку электронной почты от имени субдомена promo.company.com, таким образом наследуя репутацию основного домена company.com.
Опять-таки, для крупных организаций совершенно нормально включать в этот список массу различных адресов и доменов, которые могут использоваться под те или иные нужды. В том числе он может включать внешние домены, которые либо вообще не принадлежат компании, либо используются для какого-либо особого случая. Скажем, речь может идти о временных проектах, инструментах для массовых рассылок или проведения опросов пользователей и так далее. В то же время может происходить так, что регистрация домена уже закончилась, но из записи SPF его забыли удалить.
Однако этого сервиса больше не существует, регистрация домена закончилась, а запись SPF администраторы забыли отредактировать. В таком случае, зарегистрировав заброшенный домен customersurveytool.com, злоумышленники получают возможность рассылать почту уже не от имени субдомена, а от имени основного домена компании — company.com.
Так выглядел сайт marthastewart.msn.com при жизни
Несложно догадаться, что регистрация домена msnmarthastewartsweeps.com закончилась, однако соответствующую запись CNAME администраторы MSN забыли удалить. В 2022 году этот домен обнаружили злоумышленники, зарегистрировали его на себя и тем самым получили возможность отправлять письма от имени marthastewart.msn.com и таким образом использовать в своих целях репутацию не кого-нибудь, а портала Microsoft Network.
Возможно, вы при этом задумывались о том, как же злоумышленникам удается это делать. А может быть, даже задавались закономерным вопросом, не рассылает ли кто-нибудь вредоносные письма и от имени вашей компании.
Вообще говоря, для борьбы с письмами, отправленными от чужого имени, существует несколько технологий: Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) и Domain-based Message Authentication Reporting and Conformance (DMARC). К сожалению, время от времени обнаруживаются способы обхода этих методов защиты. В этом посте мы поговорим об одной из техник, которые используют спамеры для того, чтобы рассылать письма с адресов легитимных организаций, — об угоне доменов.
Вредоносная кампания SubdoMailing и угон доменов у организаций
Исследователи из Guardio Labs
Для просмотра ссылки необходимо нажать
Вход или Регистрация
масштабную кампанию по рассылке спама, которую они назвали SubdoMailing. В этой кампании, которая ведется как минимум с 2022 года, задействованы более 8000 доменов и 13 000 субдоменов, ранее принадлежавших легитимным компаниям, а также почти 22 000 уникальных IP-адресов. Средний объем спама, который рассылают злоумышленники, стоящие за SubdoMailing, исследователи оценивают в 5 миллионов писем в день.Операторы кампании SubdoMailing постоянно ищут подходящие домены компаний, срок регистрации которых истек, и заново регистрируют их на себя: в среднем таким образом они захватывают несколько десятков легитимных доменов в день. Ну а рекорд они поставили в июне 2023 года, зарегистрировав за один день целых 72 чужих домена.
Чтобы избегать попадания захваченных доменов в спам-листы, злоумышленники применяют постоянную ротацию: домен используется для рассылки спама 1–2 дня, после чего он на долгое время становится неактивным, а в это время спамеры переходят на использование следующего. Через пару дней они оставляют в покое и его, подключают к рассылке новый — и так далее.
Угон доменов с настроенной записью CNAME
Как же именно злоумышленники используют захват чужих доменов? Первый вариант — через угон домена, на котором настроена «каноническая запись имени» (canonical name record, CNAME). CNAME — это один из видов DNS-записей, который используется для перенаправления с одного доменного имени на другое.Простейший пример записи CNAME — субдомен www, который обычно перенаправляет на основной домен, то есть:
-
Для просмотра ссылки необходимо нажать Вход или Регистрация→ company.com
- promo.company.com → company2020promo.com
Они ищут заброшенные домены, когда-то принадлежавшие крупным организациям, на которые указывают записи CNAME.
Возьмем company2020promo.com из нашего примера — допустим, этот домен был заброшен компанией после промоакции, проведенной несколько лет назад, но запись CNAME администраторы забыли удалить. В таком случае получается, что злоумышленники могут зарегистрировать этот домен на себя и автоматически получить контроль над субдоменом promo.company.com.
В частности, после этого они получают возможность авторизовать почтовые серверы, расположенные на принадлежащих им IP-адресах, на рассылку электронной почты от имени субдомена promo.company.com, таким образом наследуя репутацию основного домена company.com.
Эксплуатация записей SPF
Вторая уловка, которой пользуются злоумышленники, стоящие за SubdoMailing, — это эксплуатация SPF-записей. Записи Sender Policy Framework (Инфраструктура политики отправителя — расширение протокола SMTP) содержат список IP-адресов и доменов, которые имеют право рассылать почту от имени того или иного домена.Опять-таки, для крупных организаций совершенно нормально включать в этот список массу различных адресов и доменов, которые могут использоваться под те или иные нужды. В том числе он может включать внешние домены, которые либо вообще не принадлежат компании, либо используются для какого-либо особого случая. Скажем, речь может идти о временных проектах, инструментах для массовых рассылок или проведения опросов пользователей и так далее. В то же время может происходить так, что регистрация домена уже закончилась, но из записи SPF его забыли удалить.
За такими доменами также охотятся злоумышленники. Скажем, для нашего примера company.com запись SPF может в том числе включать какой-нибудь внешний домен — например, принадлежащий сервису для опросов пользователей customersurveytool.com.
Однако этого сервиса больше не существует, регистрация домена закончилась, а запись SPF администраторы забыли отредактировать. В таком случае, зарегистрировав заброшенный домен customersurveytool.com, злоумышленники получают возможность рассылать почту уже не от имени субдомена, а от имени основного домена компании — company.com.
Примеры угона доменов в ходе кампании SubdoMailing
Как вообще могут возникать подобные проблемы, легко понять по
Для просмотра ссылки необходимо нажать
Вход или Регистрация
с сайтом msnmarthastewartsweeps.com. Когда-то у веб-портала Microsoft Network (MSN) был совместный проект с ведущей кулинарного шоу
Для просмотра ссылки необходимо нажать
Вход или Регистрация
. Этот проект с помощью раздачи призов продвигал MSN Messenger, про который сейчас уже никто давно не помнит. Для сайта данного проекта использовали субдомен marthastewart.msn.com, который через запись CNAME перенаправлял на внешний домен msnmarthastewartsweeps.com.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Так выглядел сайт marthastewart.msn.com при жизни
Несложно догадаться, что регистрация домена msnmarthastewartsweeps.com закончилась, однако соответствующую запись CNAME администраторы MSN забыли удалить. В 2022 году этот домен обнаружили злоумышленники, зарегистрировали его на себя и тем самым получили возможность отправлять письма от имени marthastewart.msn.com и таким образом использовать в своих целях репутацию не кого-нибудь, а портала Microsoft Network.
Как защититься от SubdoMailing
Чтобы предотвратить угон доменов и рассылку спама от имени вашей компании, мы рекомендуем следующее:- Обязательно используйте технологии
Для просмотра ссылки необходимо нажать Вход или Регистрация.
- Регулярно проводите инвентаризацию принадлежащих компании веб-ресурсов, в том числе доменов.
- Следите за тем, чтобы регистрация все еще используемых доменов продлевалась вовремя.
- Удаляйте DNS-записи, которые более не актуальны.
- Не забывайте также редактировать записи SPF, удаляя из них более не используемые адреса и домены, авторизованные на рассылку почты от имени вашей компании.
Для просмотра ссылки необходимо нажать
Вход или Регистрация