多家知名品牌子域名被劫持发送海量诈骗邮件

Andrew2024-03-01 15:35:32


近日,一个名为“SubdoMailing”的大规模广告欺诈活动正在使用8000多个合法互联网域名和1.3万个子域名大量发送垃圾邮件,每天发送量高达500万封电子邮件,用于诈骗和恶意广告盈利。


域名遭到劫持的企业中不乏知名品牌,例如MSN、VMware、McAfee、经济学人、康奈尔大学、哥伦比亚广播公司、NYC.gov、普华永道、培生、联合国儿童基金会、美国公民自由联盟、赛门铁克、Java.net、Marvel和易趣等。


从这些知名品牌的域名和子域名发送的恶意电子邮件可以绕过垃圾邮件过滤器。此外,不法分子还利用SPF和DKIM电子邮件策略来欺骗安全电子邮件网关,将这些电子邮件识别为合法邮件。


通过检测电子邮件元数据中的异常模式,Guardio Labs的研究人员Nati Tal和Oleg Zaytsev最终发现了这个大规模的子域劫持操作,并报告称该活动自2022年以来一直在进行。


对MSN域名错误授权垃圾邮件的案例研究显示,攻击者为使电子邮件看上去合法并逃检测和过滤,使用了多种攻击方法:包括滥用SPF(发件人策略框架)检查、DKIM(域名密钥识别邮件)和DMARC(域名基于消息认证、报告和一致性)协议。



SubdoMailing劫持域名发送垃圾邮件的组合策略 来源:Guardio Labs


对信誉良好的企业的域名和子域名,SubdoMailing活动主要通过CNAME攻击和SPF记录利用这两种方法来实施域名劫持。


在CNAME攻击中,攻击者会扫描知名品牌的子域名,其中CNAME记录指向不再注册的外部域名。然后,他们通过NameCheap服务自行注册这些域名。



利用CNAME攻击劫持域名 来源:Guardio Labs


在第二种方法——利用SPF记录的域名劫持攻击中,SPF记录的include选项用于从外部域名导入允许的电子邮件发件人,攻击者首先查看目标域名SPF记录中“include:”选项所指向的外部域名中是否存在注册过期的域名。


然后攻击者会注册SPF记录中失效的外部域名,更改其SPF记录以授权自己的恶意电子邮件服务器(使用被劫持的域名作为邮件地址)。这使得攻击者的电子邮件看起来合法地来自信誉良好的域名。



利用SPF记录劫持域名 来源:Guardio Labs


Guardio Labs将此次大规模域名劫持活动归咎于一个代号“ResurrecAds”的威胁行为者,该行为者会系统性地扫描网络中可能被劫持的域名,并有针对性的购买域名。


威胁行为者不断更新这个由被劫持域名、SMTP服务器和IP地址组成的庞大网络,以维持垃圾邮件活动的规模和复杂性。Guardio Labs表示,SubdoMailing使用了近2.2万个独立IP,其中1000个似乎来自家庭网络。



SubdoMailing的运营规模与分布 来源:Guardio Labs


目前,SubdoMailing大规模垃圾邮件活动通过全球分布的SMTP服务器进行运作,这些服务器通过由8000个域名和1.3万个子域名组成的庞大网络每日发送超过500万封欺诈电子邮件。


为了方便企业自查域名是否被劫持,Guardio Labs开发了一个SubdoMailing检查网站(https://guard.io/subdomailing)。


参考链接:


https://www.bleepingcomputer.com/news/security/hijacked-subdomains-of-major-brands-used-in-massive-spam-campaign/

子域名域名服务器
本作品采用《CC 协议》,转载必须注明作者和本文链接
对于公益SRC来说,想要冲榜就不能在一个站上浪费大量时间,公益SRC对洞的质量要求不高,所以只要 花时间,还是可以上榜的。在对某站点进行测试SQL注入的时候,先通过一些方式测试是否可能存在漏洞,然后可以直接sqlmap一把梭,也可以手工测试,然后提交漏洞。任意注册算是低危漏洞,不过也有两分。不管是进行SRC漏洞挖掘,还是做项目进行渗透测试,又或者是打红蓝对抗,一定要做好信息收集。
域名是某个主域的二级域名或者多级域名,在防御措施严密情况下无法直接拿下主域,那么就可以采用迂回战术拿下域名,然后无限靠近主域。例如:www.xxxxx.com主域不存在漏洞,并且防护措施严密,而二级域名 edu.xxxxx.com存在漏洞,并且防护措施松散,那么就可以采用迂回战术拿下域名,然后逐步靠近主域。
tko-subs是一款功能强大的域名检测工具,该工具可以利用已失效的DNS记录检测和接管目标域名。该工具具备以下三个功能。 检测一个目标域名是否能够被接管。检测指向CMS提供商的CNAME是否能够被接管,检测指向不存在域名的空CNAME,检测一个或多个指向域名服务器的错误NS记录。
严格来说,生成式人工智能已经存在了近十年,但最近这项技术的蓬勃发展激发了人们应用它来寻找潜在信息安全挑战的新兴趣。要想找到这些挑战,就必须进行“大海捞针式”的搜索,而这其中包括每天都会涌入网络的全新二进制文件、文档、域名和其他工件,任务的艰巨性可想而知。
如果网站开启了CDN加速,就无法通过网站的域名信息获取真实的IP,要对目标的IP资源进行收集,就要绕过CDN查询到其真实的IP信息。使用ping域名判断是否有CDN直接使用ping域名查看回显地址来进行判断,如下回显cname.vercel-dns.com,很明显使用了cdn技术。使用不同主机ping域名判断是否有CDN如果自己在多地都有主机可以ping域名,就可以根据返回的IP信息进行判断。
信息搜集
2021-12-31 14:25:34
信息收集1.系统的信息收集1.1.CDN什么是CND?内容分发式服务CDN的优势?隐藏源主机ip,降低延迟,
时光飞逝,转眼间2021年已过大半,我们的“防火墙ALG技术”系列文章也已经更新到了第四期,之前推送的《防火墙ALG技术之安全策略》 《防火墙ALG技术之FTP协议穿墙术》 《防火墙ALG技术之TFTP协议穿墙术》 可点击链接进行阅读。本期介绍DNS协议穿越防火墙NAT,浅谈个人理解与认知。
一般情况下利用URL解析导致SSRF过滤被绕过基本上都是因为后端通过不正确的正则表达式对URL进行了解析。该方式主要是利用URL解析器和URL请求器之间的差异性发起攻击,由于不同的编程语言实现URL解析和请求是不一样的,所以很难验证一个URL是否合法。下图展示了cURL请求函数与其他语言解析函数结合使用时,由于差异性造成的漏洞。
Andrew
暂无描述