聚焦源代码安全，网罗国内外最新资讯！

作者：Stephen Pritchard

编译：代码卫士

企业通常会把管理域名的任务分给市场部门而非安全部门。然而，过期或者被“释放”的域名能造成真正的安全风险。网络犯罪分子可劫持冗余域名并借此发动一系列攻击。

网络犯罪分子可发动的攻击博阿凯钓鱼和商业邮件攻陷、勒索攻击以及供应链攻击。几乎在任意一次由攻击者利用看似合法身份而造成的攻陷中，通过接管过期域名都可让攻击者更轻松地冲破防御措施。

域名为何会过期

组织机构使域名过期的原因很多。有时候只是一个错误：由于支付方法到期或者更新接口人离职，导致域名更新被忽视。

不过也存在域名释放的情况，原因是品牌不再使用、为了测试和开发而设置，或者因为所属业务或产品被另一家公司收购等。例如，2021年4月，谷歌的阿根廷域名被web设计师 Nicolas Kurona 以区区2英镑的价格购买。该域名之后迅速转移到谷歌手中，而且 Kurona 也并未有滥用该域名的意图，但它说明了我们很容易会失去对这类关键的、高价值资产的控制。

Prism Infosec 公司的首席咨询师和创始人 Phil Robinson 表示，“组织机构拥有多个域名，应该会有很多针对主域名的治理和关注。”然而，分支机构或内部系统的域名更难以跟踪。“在收购过程中，如果不够仔细，则域名管理可能无人问津，最终过期。”而这类域名可能会被他人注册并随意使用。

过期域名后来怎么样了？

域名过期有着固定流程。每个域名在 WHOIS 记录中都有一个过期日期。尽管已到期但通常会有一个更新宽限期，具体期限因注册商的不同而不同。

宽限期之后是赎回期，在此期间仍然可索回域名，之后会有一个5天的“即将删除”期。之后该域名会被增加到域名释放清单中，而犯罪分子趁机在这些域名即将上市之际寻找下手目标。

恶意黑客可能会怎么做？

网络犯罪分子可将释放的域名当作任意攻击向量，利用组织机构的身份如账户接管或发动钓鱼攻击。犯罪团伙甚至还会通过过期域名设置邮件服务器，之后获得对与这些过期域名相关联的社交媒体账户的访问权限，或者更令人担心的是获得对 web 服务和 SaaS 应用的访问权限。

云安全平台 Menlo Security 公司的解决方案架构师 Tom McVey 表示，“攻击者利用老旧域名的方法有很多。例如，制造机构可能会忘记更新自己的域名‘manufactory.com’。攻击者可购买该域名并托管看似为该制造商网站的网站，只是每个下载链接中秘密包含着受感染文件。

他补充道，“他们还可以通过看似合法安全的邮件地址如 sales@manufactory.com向之前的客户发送邮件，执行钓鱼攻击和社工攻击。这些攻击者主要依靠该域名的声誉帮助提升攻击的效果。“

除此之外还有更复杂的攻击向量，如利用调用过期域名的网站脚本。例如，以色列网络安全公司 Reflectiz 就曾发布博客，详细说明了针对被盗数据网站 WeLeakInfo的攻击和基于脚本的攻击。

Szathmari 指出，研究人员已证实，通过设置catch-all 邮箱服务器，他们可获得对合法机构的 Office 365 和 GSuite 账户的访问权限，之后访问机密文档。恶意人员滥用释放域名的可能性非常大。

如何检查域名是否已过期或将过期

避免释放域名攻击的最佳方法是通过健壮系统管理域名。安全团队应当和业务部门如开发人员和市场团队合作，确保老旧域名未过期。让域名处于注册状态并受到保护的成本比起不这样做的后果而言很小。

企业可以考虑商业域名监控服务或免费服务。

渗透测试应当也可以识别出和过期域名相关联的系统，以此关闭或重新配置依赖系统。正如 Tom McVey指出，零信任和类似架构通过删除对遗留域名和的信任减少了威胁。

1Password 的首席安全架构师 Jeff Goldberg 指出，“这并非新问题，而且展示出企业只关注新系统而忘记老系统（在本例中是域名）的情况。”他指出域名通常是“影子IT”的一部分。

如何更新已过期域名

如域名已过期，则应联系注册商或分销商，获取更新方法。

用户可通过使用ICANN维护的 lookup 工具向注册商或分销商进行说明等。

然而，如果过期域名已被接管，则可能必须支付现有所有人重新获得控制权。说到域名控制丢失问题，预防要比补救好得多，成本也低得多。

推荐阅读

如何从废弃的域名中访问敏感信息？

Atlassian 域名被曝一次点击账户接管漏洞 可导致供应链攻击

犯罪分子社工GoDaddy 员工，获得密币相关网站域名的控制权

全球最大域名注册商 GoDaddy 的托管账户凭证遭泄露

700多个恶意误植域名库盯上RubyGems 仓库

浓缩精华|苹果修复约40个漏洞；域名注册商 Network Solutions数据遭泄露；暗网出现500强公司的2100万份凭证

原文链接

https://portswigger.net/daily-swig/how-expired-web-domains-help-criminal-hackers-unlock-enterprise-defenses

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~