过期域名如何助力犯罪分子攻破企业防御

最新推荐文章于 2024-05-05 13:57:09 发布
最新推荐文章于 2024-05-05 13:57:09 发布
阅读量279 收藏
点赞数
文章标签: java 安全 区块链 信息安全 xss
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247509741&idx=2&sn=61a65c397db78159e160ebb5658e1f60&chksm=ea949787dde31e91c3a92855fb84cc5e98830fc713224067c14204e0a7e7c05b282e51915b15&scene=126&&sessionid=0
版权

462f80cbacb5f942426ebcdff7a9ca9f.gif 聚焦源代码安全,网罗国内外最新资讯!

作者:Stephen Pritchard

编译:代码卫士

企业通常会把管理域名的任务分给市场部门而非安全部门。然而,过期或者被“释放”的域名能造成真正的安全风险。网络犯罪分子可劫持冗余域名并借此发动一系列攻击。

9c8f84865a9ebd165055843661b7a2ca.png

网络犯罪分子可发动的攻击博阿凯钓鱼和商业邮件攻陷、勒索攻击以及供应链攻击。几乎在任意一次由攻击者利用看似合法身份而造成的攻陷中,通过接管过期域名都可让攻击者更轻松地冲破防御措施。

域名为何会过期

c9b0552cd4026f7947ad6222c4523cac.png

组织机构使域名过期的原因很多。有时候只是一个错误:由于支付方法到期或者更新接口人离职,导致域名更新被忽视。

不过也存在域名释放的情况,原因是品牌不再使用、为了测试和开发而设置,或者因为所属业务或产品被另一家公司收购等。例如,2021年4月,谷歌的阿根廷域名被web设计师 Nicolas Kurona 以区区2英镑的价格购买。该域名之后迅速转移到谷歌手中,而且 Kurona 也并未有滥用该域名的意图,但它说明了我们很容易会失去对这类关键的、高价值资产的控制。

Prism Infosec 公司的首席咨询师和创始人 Phil Robinson 表示,“组织机构拥有多个域名,应该会有很多针对主域名的治理和关注。”然而,分支机构或内部系统的域名更难以跟踪。“在收购过程中,如果不够仔细,则域名管理可能无人问津,最终过期。”而这类域名可能会被他人注册并随意使用。

过期域名后来怎么样了?

004422f510bcce9b4c6c113ce02207f8.png

域名过期有着固定流程。每个域名在 WHOIS 记录中都有一个过期日期。尽管已到期但通常会有一个更新宽限期,具体期限因注册商的不同而不同。

宽限期之后是赎回期,在此期间仍然可索回域名,之后会有一个5天的“即将删除”期。之后该域名会被增加到域名释放清单中,而犯罪分子趁机在这些域名即将上市之际寻找下手目标。

恶意黑客可能会怎么做?

25736e1bc0e5dd1886055b9e3e8b90aa.png

网络犯罪分子可将释放的域名当作任意攻击向量,利用组织机构的身份如账户接管或发动钓鱼攻击。犯罪团伙甚至还会通过过期域名设置邮件服务器,之后获得对与这些过期域名相关联的社交媒体账户的访问权限,或者更令人担心的是获得对 web 服务和 SaaS 应用的访问权限。

云安全平台 Menlo Security 公司的解决方案架构师 Tom McVey 表示,“攻击者利用老旧域名的方法有很多。例如,制造机构可能会忘记更新自己的域名‘manufactory.com’。攻击者可购买该域名并托管看似为该制造商网站的网站,只是每个下载链接中秘密包含着受感染文件。

他补充道,“他们还可以通过看似合法安全的邮件地址如 sales@manufactory.com向之前的客户发送邮件,执行钓鱼攻击和社工攻击。这些攻击者主要依靠该域名的声誉帮助提升攻击的效果。“

除此之外还有更复杂的攻击向量,如利用调用过期域名的网站脚本。例如,以色列网络安全公司 Reflectiz 就曾发布博客,详细说明了针对被盗数据网站 WeLeakInfo的攻击和基于脚本的攻击。

Szathmari 指出,研究人员已证实,通过设置catch-all 邮箱服务器,他们可获得对合法机构的 Office 365 和 GSuite 账户的访问权限,之后访问机密文档。恶意人员滥用释放域名的可能性非常大。

如何检查域名是否已过期或将过期

402341cee0af143c31ab795e428f851f.png

避免释放域名攻击的最佳方法是通过健壮系统管理域名。安全团队应当和业务部门如开发人员和市场团队合作,确保老旧域名未过期。让域名处于注册状态并受到保护的成本比起不这样做的后果而言很小。

企业可以考虑商业域名监控服务或免费服务。

渗透测试应当也可以识别出和过期域名相关联的系统,以此关闭或重新配置依赖系统。正如 Tom McVey指出,零信任和类似架构通过删除对遗留域名和的信任减少了威胁。

1Password 的首席安全架构师 Jeff Goldberg 指出,“这并非新问题,而且展示出企业只关注新系统而忘记老系统(在本例中是域名)的情况。”他指出域名通常是“影子IT”的一部分。

如何更新已过期域名

acf57bc184ce6d0089154c7dee881abb.png

如域名已过期,则应联系注册商或分销商,获取更新方法。

用户可通过使用ICANN维护的 lookup 工具向注册商或分销商进行说明等。

然而,如果过期域名已被接管,则可能必须支付现有所有人重新获得控制权。说到域名控制丢失问题,预防要比补救好得多,成本也低得多。

推荐阅读

如何从废弃的域名中访问敏感信息?

Atlassian 域名被曝一次点击账户接管漏洞 可导致供应链攻击

犯罪分子社工GoDaddy 员工,获得密币相关网站域名的控制权

全球最大域名注册商 GoDaddy 的托管账户凭证遭泄露

700多个恶意误植域名库盯上RubyGems 仓库

浓缩精华|苹果修复约40个漏洞;域名注册商 Network Solutions数据遭泄露;暗网出现500强公司的2100万份凭证

原文链接

https://portswigger.net/daily-swig/how-expired-web-domains-help-criminal-hackers-unlock-enterprise-defenses

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

222255136b4076bf2ed05e954a20ce04.png

5c915d523816ba71717ab2698bc0eaa0.png

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   e7b94a11798dcd0a84bd828bab3dd5a0.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
加强企业危机应对 让堡垒不从内部被攻破.doc
02-21
加强企业危机应对 让堡垒不从内部被攻破.doc
安全架构--10--企业安全防御体系建设总结
武天旭的博客
04-28 3702
在过去的工作中,我和我的团队基本完成了公司信息安全体系的初步建设,我设计的安全体系架构分为六大块:安全开发体系、安全防御体系、数据安全体系、隐私合规体系、资产管理体系、安全管理体系,六大体系共同构成了完整的信息安全体系。
中小企业防御网络攻击的 6 种方法
wangpeng198688的专栏
12-18 2807
网络安全是当前一个非常热门的话题,网络泄密、系统瘫痪、斯诺登事件……都在不断挑战所有人互联网人的神经。大家都在担忧自己的隐私会不会被泄露出去,公司的敏感信息怎么来保护。当然,这也是一个非常好的现象,说明现在大家的安全意识已经越来越高了!但是,也有一些不好的现象,比如很多公司的管理层认为,网络安全是大公司才需要考虑的事情,小型的创业公司并没有什么价值吸引黑客来攻击。在笔者看来,这种想法是非常危险的,任
移动目标防御
lgq2016的博客
01-08 4281
移动目标防御(MTD)是当今最具影响力的安全创新机会。在过去的几年里,国际上针对移动目标防御的研究一直是非常重视。 美国国土安全部将MTD技术定义为改变游戏规则的新型网络安全技术,美国空军准备在2020年前大范围应用MTD技术解决安全问题。2016年美国第一个MTD技术的专利被颁发。之后国外学者针对MTD技术撰写了大量论文,出版了多个MTD的论文集。       同时,国际上对MTD的...
IP、域名和端口号之间的联系
fightsyj的博客
01-14 1万+
1、背景介绍 当我们把项目部署到自己的服务器上以后,一般可以通过两种形式访问项目,一种是ip+端口号,还有一种是域名访问。 那么这两种访问项目的方式的区别是什么呢?哪一种更好一些?IP、域名、端口号之间有什么联系呢? 2、知识剖析 IP、域名、端口号的基本概念 (1) IP IP(英语:Internet Protocol Address,又译为网际协议地址),缩写为IP地址(英语:IP...
恶意软件攻破网络防御措施的5种方式揭秘!网警教你如何抵御!
javaxiaoheibai的博客
02-27 2882
在这篇文章里,我们为各位归纳了5种现代恶意软件常见的规避技术,以及它们是如何战胜传统恶意软件防御措施的。 恶意软件是数据泄露的重要载体。研究表明,无论是最初的入侵、在网络中扩展或者是窃取数据,51%的数据泄露都使用了恶意软件。然而,尽管恶意软件是关键的攻击矢量,企业却无法抵御在网络中肆意运行的数据窃取恶意软件。事实上,某些规模最大、最广为人知的数据泄露都是由未检测到的恶意软件造成的。   其...
浅谈企业网络安全边界
热门推荐
balance的博客
09-20 1万+
前言 企业网络安全关键在找准安全边界(攻击点):边界的左边是攻击者(脚本小子、骇客、APT攻击),边界的右边是网络资产、信息资产。企业网络安全建设则在安全边界处设防,尽可能做到安全边界不被攻破。 然而随着业务增多、技术演变、模式调整等因素,安全边界越来越多,也越来越模糊。但我们仍然要梳理出企业网络所有的安全边界,并全部加以防护,毕竟网络安全遵循短板效应,挂一漏万。 本文结合自身多年乙方安全和...
企业安全建设-蜜标(honeytokens)
网络安全领域优质创作者
12-02 4875
什么是honeytokens?简单来说就是有人打开某个文件时,你能实时知道这个文件被人打开了。可以是excel文件,也可以是word文件,甚至是图片、某个应用的key。 所以在各种复杂的生产和办公环境中,我们可以设置更多独立的陷阱,而不仅仅是蜜罐。
通过抓包攻破人脸识别系统:安全问题存疑
MrCharles在CSDN
03-15 5074
机器之心 https://www.jiqizhixin.com/articles/2020-03-13-11 近日,裁判文书网公布一起「黑客」入侵厦门银行手机银行 App,利用虚假身份开户的案件。两名犯罪分子,分别为 00 后的田世纪和 95 后的张宇男,其中 2000 年出生、职业学院休学的河南男孩攻破了厦门银行 App 的人脸识别系统,进而使用虚假身份信息多个账户并倒卖牟利。 田世纪通过抓包技...
AMTD:一种适应性移动目标防御方法
拂去烟尘的博客
05-08 2251
AMTD防御适应性策略 AMTD的防御适应性主要采取两类策略。 1)基于防御方式的适应性策略 基于(入侵检测系统)IDS预警信息识别突发安全威胁。实现基于网络安全状态异常事件驱动的变换(ADS)。–反应式防御 基于系统风险递增的认知,采用基于计时器期满驱动变换(TDS)。–主动式防御 TDS弥补入侵检测系统可能出现的漏报以及误报导致的不足,利于降低当前潜在的风险。 2) 基于...
关于Web安全趋势与核心防御机制
程序猿开发日志【学习永无止境】
07-14 3694
一. WEB安全技术产生原因 早期:万维网(World Wide Web)仅有Web站点构成,这些站点基本上是包含静态文档的信息库。这种信息流仅由服务器向浏览器单向传送。多数站点并不验证用户的合法性。 如今:已与早期的万维网已经完全不同,Web上的大多数站点实际上是应用程序。他们功能强大,在服务器和浏览器之间进行双向信息传送。他们处理的许多信息属于私密和高度敏感信息。因此,安全问题至关重要,W
攻破C语言笔试与机试难点V0.31 .pdf
06-28
攻破C语言笔试与机试难点,规范代码
无线路由器被攻破如何设置防止
10-01
随着WiFi的逐渐普及,很多人在自己的小小空间里会装上无线路由器,实现网络共享。但是它的简单方便也带了一些安全隐患,编者通过简单设置分享防止无线路由器被攻破
黑客是如何远程攻破你的Android手机的
03-03
“你走进一个咖啡店坐下来。等咖啡的时候,你拿出你的智能手机开始玩一款你前些天下载的游戏。接着,你继续工作并且在电梯里收邮件。在你不知情下,有攻击者获取了公司网络的地址并且不断地感染你所有同事的智能手机...
企业级负载平衡简介
02-01
在之前的一篇文章《放好你的密码–从芝麻金融被攻破说起》中,一位读者在评论中提出了“如果整个过程速度比较慢登录会有问题”这样一条评论。虽然说我对文章的正确性很有把握,但也仍需要仔细思考是否自己哪里没有说...
JAVA 学习·泛型(二)——通配泛型
wr114514的博客
05-02 1057
介绍了Java泛型中的重要知识点——通配泛型及其应用。
获取Java 虚拟机进程ID(java应用进程Id的方法) Linux & windows
weixin_44131922的博客
04-30 505
这个命令会列出所有包含"java"的进程信息。从中你可以找到你的Java应用对应的进程行,第一列就是进程ID(PID)。这个命令会列出所有包含"java"的进程信息。在输出的信息中,你可以找到Java进程及其PID。替换为你的Java主类名或jar文件名的部分匹配字符串,pgrep会直接返回对应的进程ID。如果你需要在Java程序内部获取其自身的进程ID,可以使用。这段代码会打印出当前运行Java程序的进程ID。
springboot 获取maven打包时间
I do more ,you do less
04-30 502
【代码】springboot 获取maven打包时间。
Java---类和方法的再学习
最新发布
m0_74012211的博客
05-05 1070
Java类与对象
漏洞防御措施和防御设备
06-02
为了防止漏洞的产生和利用,可以采取以下措施和使用以下设备: 1. 及时更新系统和应用程序:及时安装系统和应用程序的安全补丁,以修复已知漏洞。 2. 加强访问控制:采用强密码、多因素认证等方式加强访问控制,避免身份验证机制被攻破。 3. 使用防火墙:使用防火墙可以过滤掉一些恶意流量,避免漏洞被利用。 4. 限制权限:限制用户的权限,避免非授权用户进行系统操作。 5. 安全审计:定期对系统进行安全审计,发现和修复潜在的漏洞。 6. 使用漏洞扫描器:利用漏洞扫描器对系统进行扫描,发现漏洞并及时修复。 7. 使用入侵检测系统:入侵检测系统可以实时监控系统中的异常行为,及时发现和阻止攻击。 8. 使用Web应用防火墙:Web应用防火墙可以过滤掉一些恶意请求,防止Web应用程序被攻击。 9. 加密通信:使用加密通信方式,避免数据被攻击者窃取和篡改。 10. 安全培训:对员工进行安全培训,提高员工的安全意识,避免被攻击者利用社会工程学手段攻击系统。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值