Subdomain Squatting
Aneb cizí web na tvé doméně?
Subdomain Squatting je hackerská technika využívající neaktivní subdomény bez vědomí a svolení vlastníka dané domény. Následně se může útočník vydávat za registrátora domény a využívat toho při spoustě dalších útoků.
Doména, subdoména ... Co to je?
World Wide Web (WWW) je projekt umožňující na internetu vytvářet a prohlížet obsah. Obsah je vždy uložen na nějakém serveru (počítači) v síti. Když chceme webový obsah zobrazit, najdeme ho pomocí IP adresy serveru, na kterém se nachází.
To bychom si ale museli pamatovat IP adresu každého webu, který chceme navštívit a to není jednoduché. Proto vznikl projekt DNS (Domain Name System), který řeší tento problém.
Serveru můžeme přidělit snadněji zapamatovatelný název, tzv. doménové jméno (např. WWW.TOMASEK.WORK). Když do prohlížeče napíšeme doménové jméno, pošle požadavek na nameserver poskytovatele internetu. Ten buď doménové jméno "přeloží" na IP adresu webového serveru, nebo pošle požadavek na nadřazený nameserver. Pokud záznam existuje, vždy ho lze najít (minimálně pomocí dvou nejvyšších nameserverů). Ve výsledku prohlížeč zobrazí stejnou webovou stránku, jako kdybychom do něj napsali rovnou IP adresu webového serveru.
Jak útok probíhá?
- Identifikace cílového subjektu a domény
Útočník si naplánuje na jakou organizaci chce zaútočit. Napadaným subjektem může být prakticky kdokoli, záleží na motivaci hackerů.
Po určení cíle zjistí, jakými doménami napadaná organizace disponuje a jak je používá.
2. Analýza DNS záznamů
Útočníci najdou v DNS záznamech subdomény, které se už nepoužívají, ale jejich záznamy jsou stále aktivní.
Většinou k tomu dochází, když velká firma přestane poskytovat nějakou nevýznamnou službu, pro kterou byla daná doména určena, ale nedostane se informace o tom ke správci DNS.
Potom se útočníci pokusí převzít kontrolu nad touto subdoménou.
Software pro scanování DNS záznamů. Zdroj: https://www.hacksplaining.com/img/illustrations/sublister.png
3. Vytvoření nového hostingu
Následně si vytvoří hosting (místo na web na serveru), na který doména dle platného záznamu směřuje, aniž by záznam museli měnit, třeba pomocí IP spoofingu.
Na tomto hostingu si potom mohou dělat, co chtějí.
4. Využití subdomény k útokům.
V této situaci mohou útočníci používat doménu k všelijakým dalším útokům.
Phishing - Posílání e-mailů z domény dané organizace vypadá velice přesvědčivě a k podezřelosti má docela daleko.
Šíření malwaru - Na hostingu mohou vytvořit falešný web organizace, který šíří malware na počítače návštěvníků.
Cross-site scripting - Spuštěním (ne)správného kódu a zadáním upravených údajů se dostanou útočníci do systémů které se subdoménou jenom vzdáleně souvisí.
Cookies - Mohou také pomocí hostingu pracovat s cookies na počítačích uživatelů. Případně i sbírat různé přihlašovací údaje.
5. Udržování kontroly nebo opuštění systému
Útočníci se většinou snaží držet nad subdoménou kontrolu co nejdéle nebo naopak systém po nějaké době sami opustí a zamaskují, aby se na to nepřišlo a škody, které napáchali, byly odhaleny až co nejpozději.
Prevence a ochrana
Nejjednodušší a nejspolehlivěší je pravidelně DNS záznamy kontrolovat a měnit. Také je dobré používat systémy na odhalení scanování portů a DNS. Neméně je důležité sledovat nově objevené zranitelnosti a aktualizace se záplatami proti nim.
U domén CZ se hodí využít projektu DNSSEC.
Právní aspekt
Dle platných českých zákonů se jedná o Neoprávněný přístup k počítačovému systému a neoprávněný zásah do počítačového systému nebo nosiče informací, tedy §230 zákona č. 40/2009 Sb., Trestního zákoníku. Pachateli hrozí až 4 léta odnětí svobody. Ještě to ovšem nebylo v České republice nikdy nikomu dokázáno.
Zranitelnost na Subdomain Squatting bývá v auditech kybernetické bezpečnosti většinou hodnocena nízkým rizikem, protože k němu nedochází často. Však v případě úspěného využití zranitelnosti mívá útok obrovský dopad a rozsáhlé následky. Případné řešení a vyšetřování kybernetického incidentu tohoto druhu není jednoduché.
Zdroje:
Ilustrační obrázek vytvořen pomocí copilot.microsoft.com
Cloudflare. (2019). Cloudflare. Cloudflare; Cloudflare. https://www.cloudflare.com/learning/ddos/glossary/ip-spoofing/
pwn.guide. (2024, March 25). Subdomain Squatting. Pwn.guide. https://pwn.guide/free/web/subdomain-squatting
How Hackers Attack Subdomains and How to Protect Them | HackerNoon. (n.d.). Hackernoon.com. https://hackernoon.com/how-hackers-attack-subdomains-and-how-to-protect-them-rc7j37f2
DNS Hacking | DarkDNS_Forum. (darkweb). darkweb. *******************************************************************