近日，一個名為“SubdoMailing”的大規(guī)模廣告欺詐活動正在使用8000多個合法互聯(lián)網(wǎng)域名和1.3萬個子域名大量發(fā)送垃圾郵件，每天發(fā)送量高達500萬封電子郵件，用于詐騙和惡意廣告盈利。

域名遭到劫持的企業(yè)中不乏知名品牌，例如MSN、VMware、McAfee、經(jīng)濟學人、康奈爾大學、哥倫比亞廣播公司、NYC.gov、普華永道、培生、聯(lián)合國兒童基金會、美國公民自由聯(lián)盟、賽門鐵克、Java.net、Marvel和易趣等。

從這些知名品牌的域名和子域名發(fā)送的惡意電子郵件可以繞過垃圾郵件過濾器。此外，不法分子還利用SPF和DKIM電子郵件策略來欺騙安全電子郵件網(wǎng)關，將這些電子郵件識別為合法郵件。

通過檢測電子郵件元數(shù)據(jù)中的異常模式，Guardio Labs的研究人員Nati Tal和Oleg Zaytsev最終發(fā)現(xiàn)了這個大規(guī)模的子域劫持操作，并報告稱該活動自2022年以來一直在進行。

對MSN域名錯誤授權垃圾郵件的案例研究顯示，攻擊者為使電子郵件看上去合法并逃檢測和過濾，使用了多種攻擊方法：包括濫用SPF（發(fā)件人策略框架）檢查、DKIM（域名密鑰識別郵件）和DMARC（域名基于消息認證、報告和一致性）協(xié)議。

SubdoMailing劫持域名發(fā)送垃圾郵件的組合策略

對信譽良好的企業(yè)的域名和子域名，SubdoMailing活動主要通過CNAME攻擊和SPF記錄利用這兩種方法來實施域名劫持。

在CNAME攻擊中，攻擊者會掃描知名品牌的子域名，其中CNAME記錄指向不再注冊的外部域名。然后，他們通過NameCheap服務自行注冊這些域名。

利用CNAME攻擊劫持域名

在第二種方法——利用SPF記錄的域名劫持攻擊中，SPF記錄的include選項用于從外部域名導入允許的電子郵件發(fā)件人，攻擊者首先查看目標域名SPF記錄中“include:”選項所指向的外部域名中是否存在注冊過期的域名。

然后攻擊者會注冊SPF記錄中失效的外部域名，更改其SPF記錄以授權自己的惡意電子郵件服務器（使用被劫持的域名作為郵件地址）。這使得攻擊者的電子郵件看起來合法地來自信譽良好的域名。

利用SPF記錄劫持域名

Guardio Labs將此次大規(guī)模域名劫持活動歸咎于一個代號“ResurrecAds”的威脅行為者，該行為者會系統(tǒng)性地掃描網(wǎng)絡中可能被劫持的域名，并有針對性的購買域名。

威脅行為者不斷更新這個由被劫持域名、SMTP服務器和IP地址組成的龐大網(wǎng)絡，以維持垃圾郵件活動的規(guī)模和復雜性。Guardio Labs表示，SubdoMailing使用了近2.2萬個獨立IP，其中1000個似乎來自家庭網(wǎng)絡。

SubdoMailing的運營規(guī)模與分布

目前，SubdoMailing大規(guī)模垃圾郵件活動通過全球分布的SMTP服務器進行運作，這些服務器通過由8000個域名和1.3萬個子域名組成的龐大網(wǎng)絡每日發(fā)送超過500萬封欺詐電子郵件。

為了方便企業(yè)自查域名是否被劫持，Guardio Labs開發(fā)了一個SubdoMailing檢查網(wǎng)站（https://guard.io/subdomailing）。