Как спамеры используют домены, угнанные у компаний

Через угон доменов с настроенными записями CNAME и эксплуатацию забытых SPF-записей злоумышленники захватывают домены, и используют в своих целях.

Кампания SubdoMailing: угон доменов для рассылки спама

Наверняка вы неоднократно получали спам или фишинговые письма с почтовых адресов, принадлежащих известным организациям. Возможно, вы при этом задумывались о том, как же злоумышленникам удается это делать. А может быть, даже задавались закономерным вопросом, не рассылает ли кто-нибудь вредоносные письма и от имени вашей компании.

Вообще говоря, для борьбы с письмами, отправленными от чужого имени, существует несколько технологий: Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) и Domain-based Message Authentication Reporting and Conformance (DMARC). К сожалению, время от времени обнаруживаются способы обхода этих методов защиты. В этом посте мы поговорим об одной из техник, которые используют спамеры для того, чтобы рассылать письма с адресов легитимных организаций, — об угоне доменов.

Вредоносная кампания SubdoMailing и угон доменов у организаций

Исследователи из Guardio Labs обнаружили масштабную кампанию по рассылке спама, которую они назвали SubdoMailing. В этой кампании, которая ведется как минимум с 2022 года, задействованы более 8000 доменов и 13 000 субдоменов, ранее принадлежавших легитимным компаниям, а также почти 22 000 уникальных IP-адресов. Средний объем спама, который рассылают злоумышленники, стоящие за SubdoMailing, исследователи оценивают в 5 миллионов писем в день.

Операторы кампании SubdoMailing постоянно ищут подходящие домены компаний, срок регистрации которых истек, и заново регистрируют их на себя: в среднем таким образом они захватывают несколько десятков легитимных доменов в день. Ну а рекорд они поставили в июне 2023 года, зарегистрировав за один день целых 72 чужих домена.

Чтобы избегать попадания захваченных доменов в спам-листы, злоумышленники применяют постоянную ротацию: домен используется для рассылки спама 1–2 дня, после чего он на долгое время становится неактивным, а в это время спамеры переходят на использование следующего. Через пару дней они оставляют в покое и его, подключают к рассылке новый — и так далее.

Угон доменов с настроенной записью CNAME

Как же именно злоумышленники используют захват чужих доменов? Первый вариант — через угон домена, на котором настроена «каноническая запись имени» (canonical name record, CNAME). CNAME — это один из видов DNS-записей, который используется для перенаправления с одного доменного имени на другое.

Простейший пример записи CNAME — субдомен www, который обычно перенаправляет на основной домен, то есть:

  • www.company.com → company.com

Однако могут быть варианты и посложнее, когда запись CNAME используется для перенаправления с субдомена на какой-нибудь домен, совершенно не относящийся напрямую к основному. Например, это может быть сайт для промоакции, который размещен на отдельном домене, но включен в общую структуру веб-ресурсов компании через запись CNAME:

  • promo.company.com → company2020promo.com

У крупных компаний, владеющих большим количеством разнообразных веб-ресурсов, может быть достаточно большое количество записей CNAME и соответствующих доменов. Проблема в том, что администраторам не всегда удается уследить за этим цифровым хозяйством. Поэтому может получиться так, что регистрация домена уже закончилась, а запись CNAME осталась. Вот именно за такими доменами и охотятся злоумышленники, которые стоят за кампанией SubdoMailing.

Они ищут заброшенные домены, когда-то принадлежавшие крупным организациям, на которые указывают записи CNAME. Возьмем company2020promo.com из нашего примера — допустим, этот домен был заброшен компанией после промоакции, проведенной несколько лет назад, но запись CNAME администраторы забыли удалить. В таком случае получается, что злоумышленники могут зарегистрировать этот домен на себя и автоматически получить контроль над субдоменом promo.company.com.

В частности, после этого они получают возможность авторизовать почтовые серверы, расположенные на принадлежащих им IP-адресах, на рассылку электронной почты от имени субдомена promo.company.com, таким образом наследуя репутацию основного домена company.com.

Эксплуатация записей SPF

Вторая уловка, которой пользуются злоумышленники, стоящие за SubdoMailing, — это эксплуатация SPF-записей. Записи Sender Policy Framework (Инфраструктура политики отправителя — расширение протокола SMTP) содержат список IP-адресов и доменов, которые имеют право рассылать почту от имени того или иного домена.

Опять-таки, для крупных организаций совершенно нормально включать в этот список массу различных адресов и доменов, которые могут использоваться под те или иные нужды. В том числе он может включать внешние домены, которые либо вообще не принадлежат компании, либо используются для какого-либо особого случая. Скажем, речь может идти о временных проектах, инструментах для массовых рассылок или проведения опросов пользователей и так далее. В то же время может происходить так, что регистрация домена уже закончилась, но из записи SPF его забыли удалить.

За такими доменами также охотятся злоумышленники. Скажем, для нашего примера company.com запись SPF может в том числе включать какой-нибудь внешний домен — например, принадлежащий сервису для опросов пользователей customersurveytool.com.

Однако этого сервиса больше не существует, регистрация домена закончилась, а запись SPF администраторы забыли отредактировать. В таком случае, зарегистрировав заброшенный домен customersurveytool.com, злоумышленники получают возможность рассылать почту уже не от имени субдомена, а от имени основного домена компании — company.com.

Примеры угона доменов в ходе кампании SubdoMailing

Как вообще могут возникать подобные проблемы, легко понять по случаю с сайтом msnmarthastewartsweeps.com. Когда-то у веб-портала Microsoft Network (MSN) был совместный проект с ведущей кулинарного шоу Мартой Стюарт. Этот проект с помощью раздачи призов продвигал MSN Messenger, про который сейчас уже никто давно не помнит. Для сайта данного проекта использовали субдомен marthastewart.msn.com, который через запись CNAME перенаправлял на внешний домен msnmarthastewartsweeps.com.

Скриншот сайта marthastewart.msn.com из архива Интернета

Так выглядел сайт marthastewart.msn.com при жизни. Источник

Несложно догадаться, что регистрация домена msnmarthastewartsweeps.com закончилась, однако соответствующую запись CNAME администраторы MSN забыли удалить. В 2022 году этот домен обнаружили злоумышленники, зарегистрировали его на себя и тем самым получили возможность отправлять письма от имени marthastewart.msn.com и таким образом использовать в своих целях репутацию не кого-нибудь, а портала Microsoft Network.

Как защититься от SubdoMailing

Чтобы предотвратить угон доменов и рассылку спама от имени вашей компании, мы рекомендуем следующее:

  • Обязательно используйте технологии SPF, DKIM и DMARC.
  • Регулярно проводите инвентаризацию принадлежащих компании веб-ресурсов, в том числе доменов.
  • Следите за тем, чтобы регистрация все еще используемых доменов продлевалась вовремя.
  • Удаляйте DNS-записи, которые более не актуальны.
  • Не забывайте также редактировать записи SPF, удаляя из них более не используемые адреса и домены, авторизованные на рассылку почты от имени вашей компании.
Советы