近日，一個(gè)名為“SubdoMailing”的大規(guī)模廣告欺詐活動(dòng)正在使用8000多個(gè)合法互聯(lián)網(wǎng)域名和1.3萬(wàn)個(gè)子域名大量發(fā)送垃圾郵件，每天發(fā)送量高達(dá)500萬(wàn)封電子郵件，用于詐騙和惡意廣告盈利。

域名遭到劫持的企業(yè)中不乏知名品牌，例如MSN、VMware、McAfee、經(jīng)濟(jì)學(xué)人、康奈爾大學(xué)、哥倫比亞廣播公司、NYC.gov、普華永道、培生、聯(lián)合國(guó)兒童基金會(huì)、美國(guó)公民自由聯(lián)盟、賽門鐵克、Java.net、Marvel和易趣等。

從這些知名品牌的域名和子域名發(fā)送的惡意電子郵件可以繞過(guò)垃圾郵件過(guò)濾器。此外，不法分子還利用SPF和DKIM電子郵件策略來(lái)欺騙安全電子郵件網(wǎng)關(guān)，將這些電子郵件識(shí)別為合法郵件。

通過(guò)檢測(cè)電子郵件元數(shù)據(jù)中的異常模式，Guardio Labs的研究人員Nati Tal和Oleg Zaytsev最終發(fā)現(xiàn)了這個(gè)大規(guī)模的子域劫持操作，并報(bào)告稱該活動(dòng)自2022年以來(lái)一直在進(jìn)行。

對(duì)MSN域名錯(cuò)誤授權(quán)垃圾郵件的案例研究顯示，攻擊者為使電子郵件看上去合法并逃檢測(cè)和過(guò)濾，使用了多種攻擊方法：包括濫用SPF（發(fā)件人策略框架）檢查、DKIM（域名密鑰識(shí)別郵件）和DMARC（域名基于消息認(rèn)證、報(bào)告和一致性）協(xié)議。

SubdoMailing劫持域名發(fā)送垃圾郵件的組合策略

對(duì)信譽(yù)良好的企業(yè)的域名和子域名，SubdoMailing活動(dòng)主要通過(guò)CNAME攻擊和SPF記錄利用這兩種方法來(lái)實(shí)施域名劫持。

在CNAME攻擊中，攻擊者會(huì)掃描知名品牌的子域名，其中CNAME記錄指向不再注冊(cè)的外部域名。然后，他們通過(guò)NameCheap服務(wù)自行注冊(cè)這些域名。

利用CNAME攻擊劫持域名

在第二種方法——利用SPF記錄的域名劫持攻擊中，SPF記錄的include選項(xiàng)用于從外部域名導(dǎo)入允許的電子郵件發(fā)件人，攻擊者首先查看目標(biāo)域名SPF記錄中“include:”選項(xiàng)所指向的外部域名中是否存在注冊(cè)過(guò)期的域名。

然后攻擊者會(huì)注冊(cè)SPF記錄中失效的外部域名，更改其SPF記錄以授權(quán)自己的惡意電子郵件服務(wù)器（使用被劫持的域名作為郵件地址）。這使得攻擊者的電子郵件看起來(lái)合法地來(lái)自信譽(yù)良好的域名。

利用SPF記錄劫持域名

Guardio Labs將此次大規(guī)模域名劫持活動(dòng)歸咎于一個(gè)代號(hào)“ResurrecAds”的威脅行為者，該行為者會(huì)系統(tǒng)性地掃描網(wǎng)絡(luò)中可能被劫持的域名，并有針對(duì)性的購(gòu)買域名。

威脅行為者不斷更新這個(gè)由被劫持域名、SMTP服務(wù)器和IP地址組成的龐大網(wǎng)絡(luò)，以維持垃圾郵件活動(dòng)的規(guī)模和復(fù)雜性。Guardio Labs表示，SubdoMailing使用了近2.2萬(wàn)個(gè)獨(dú)立IP，其中1000個(gè)似乎來(lái)自家庭網(wǎng)絡(luò)。

SubdoMailing的運(yùn)營(yíng)規(guī)模與分布

目前，SubdoMailing大規(guī)模垃圾郵件活動(dòng)通過(guò)全球分布的SMTP服務(wù)器進(jìn)行運(yùn)作，這些服務(wù)器通過(guò)由8000個(gè)域名和1.3萬(wàn)個(gè)子域名組成的龐大網(wǎng)絡(luò)每日發(fā)送超過(guò)500萬(wàn)封欺詐電子郵件。

為了方便企業(yè)自查域名是否被劫持，Guardio Labs開(kāi)發(fā)了一個(gè)SubdoMailing檢查網(wǎng)站（https://guard.io/subdomailing）。