多家知名品牌子域名被劫持發(fā)送海量詐騙郵件
近日,一個(gè)名為“SubdoMailing”的大規(guī)模廣告欺詐活動(dòng)正在使用8000多個(gè)合法互聯(lián)網(wǎng)域名和1.3萬個(gè)子域名大量發(fā)送垃圾郵件,每天發(fā)送量高達(dá)500萬封電子郵件,用于詐騙和惡意廣告盈利。
域名遭到劫持的企業(yè)中不乏知名品牌,例如MSN、VMware、McAfee、經(jīng)濟(jì)學(xué)人、康奈爾大學(xué)、哥倫比亞廣播公司、NYC.gov、普華永道、培生、聯(lián)合國(guó)兒童基金會(huì)、美國(guó)公民自由聯(lián)盟、賽門鐵克、Java.net、Marvel和易趣等。
從這些知名品牌的域名和子域名發(fā)送的惡意電子郵件可以繞過垃圾郵件過濾器。此外,不法分子還利用SPF和DKIM電子郵件策略來欺騙安全電子郵件網(wǎng)關(guān),將這些電子郵件識(shí)別為合法郵件。
通過檢測(cè)電子郵件元數(shù)據(jù)中的異常模式,Guardio Labs的研究人員Nati Tal和Oleg Zaytsev最終發(fā)現(xiàn)了這個(gè)大規(guī)模的子域劫持操作,并報(bào)告稱該活動(dòng)自2022年以來一直在進(jìn)行。
對(duì)MSN域名錯(cuò)誤授權(quán)垃圾郵件的案例研究顯示,攻擊者為使電子郵件看上去合法并逃檢測(cè)和過濾,使用了多種攻擊方法:包括濫用SPF(發(fā)件人策略框架)檢查、DKIM(域名密鑰識(shí)別郵件)和DMARC(域名基于消息認(rèn)證、報(bào)告和一致性)協(xié)議。
SubdoMailing劫持域名發(fā)送垃圾郵件的組合策略
對(duì)信譽(yù)良好的企業(yè)的域名和子域名,SubdoMailing活動(dòng)主要通過CNAME攻擊和SPF記錄利用這兩種方法來實(shí)施域名劫持。
在CNAME攻擊中,攻擊者會(huì)掃描知名品牌的子域名,其中CNAME記錄指向不再注冊(cè)的外部域名。然后,他們通過NameCheap服務(wù)自行注冊(cè)這些域名。
利用CNAME攻擊劫持域名
在第二種方法——利用SPF記錄的域名劫持攻擊中,SPF記錄的include選項(xiàng)用于從外部域名導(dǎo)入允許的電子郵件發(fā)件人,攻擊者首先查看目標(biāo)域名SPF記錄中“include:”選項(xiàng)所指向的外部域名中是否存在注冊(cè)過期的域名。
然后攻擊者會(huì)注冊(cè)SPF記錄中失效的外部域名,更改其SPF記錄以授權(quán)自己的惡意電子郵件服務(wù)器(使用被劫持的域名作為郵件地址)。這使得攻擊者的電子郵件看起來合法地來自信譽(yù)良好的域名。
利用SPF記錄劫持域名
Guardio Labs將此次大規(guī)模域名劫持活動(dòng)歸咎于一個(gè)代號(hào)“ResurrecAds”的威脅行為者,該行為者會(huì)系統(tǒng)性地掃描網(wǎng)絡(luò)中可能被劫持的域名,并有針對(duì)性的購買域名。
威脅行為者不斷更新這個(gè)由被劫持域名、SMTP服務(wù)器和IP地址組成的龐大網(wǎng)絡(luò),以維持垃圾郵件活動(dòng)的規(guī)模和復(fù)雜性。Guardio Labs表示,SubdoMailing使用了近2.2萬個(gè)獨(dú)立IP,其中1000個(gè)似乎來自家庭網(wǎng)絡(luò)。
SubdoMailing的運(yùn)營(yíng)規(guī)模與分布
目前,SubdoMailing大規(guī)模垃圾郵件活動(dòng)通過全球分布的SMTP服務(wù)器進(jìn)行運(yùn)作,這些服務(wù)器通過由8000個(gè)域名和1.3萬個(gè)子域名組成的龐大網(wǎng)絡(luò)每日發(fā)送超過500萬封欺詐電子郵件。
為了方便企業(yè)自查域名是否被劫持,Guardio Labs開發(fā)了一個(gè)SubdoMailing檢查網(wǎng)站(https://guard.io/subdomailing)。