روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ شاید از آدرسهایی که ظاهراً متعلق به سازمانهای معروف و معتبر است بیش از چند بار اسپم و ایمیل فیشینگ دریافت کرده باشید. این ممکن است باعث شده باشد بمانید چطور مهاجمین این حرکت سخت را مدیریت میکنند و شاید حتی نگران این شوید مبادا کسی تحت نام شرکت خودتان نیز ایمیلهای مخرب ارسال کند. خبر خوب اینکه چندین فناوری برای مبارزه با ایمیلهای ارسالی به جای فردی دیگر وجود دارد: Sender Policy Framework (SPF)، DomainKeys Identified Mail (DKIM) و Domain-based Message Authentication, Reporting, and Conformance (DMARC). خبر نه چندان خوب این که مهاجمین گهگاه راههایی برای دور زدن این راهکارهای امنیتی کشف میکنند. در این مقاله نگاهی خواهیم داشت به یکی از تکنیکهایی که اسپمرها برای ارسال ایمیل از جانب آدرس سازمانهای واقعی استفاده میکنند: سرقت دامنه.
کمپین SubdoMailing و سرقت دامنه شرکت
محققین Guardio Labs کمپین اسپم با مقیاس بالایی را کشف کردهاند که اسم آن را SubdoMailing گذاشتهاند. این کمپین که دست کم از سال 2022 فعالیت دارد شامل بیش از 8000 دامنه و 13 هزار زیردامنه میشود که قبلتر شرکتهای قانونی (با نزدیک به 22 هزار آدرس آیپی منحصر به فرد) صاحبش بودند. محققین میانگین حجم اسپم را حدود پنج میلیون ایمیل در روز تخمین میزنند. اپراتورهای SubdoMailing دائماً به دنبال دامنههای شرکتی منقضی شده مناسب هستند، و هنگامی که برخی از آنها را پیدا کردند، آنها را مجدداً ثبت میکنند - معمولاً روزانه چندین ده دامنه قانونی را میگیرند. رکورد 72 دامنه ربوده شده در یک روز است - در ژوئن 2023. برای جلوگیری از فرود در لیستهای اسپم، مهاجمین به طور مداوم آنها را میچرخانند. هر دامنه برای توزیع هرزنامه به مدت 1 تا 2 روز استفاده میشود، قبل از اینکه برای مدت طولانی در حالت غیرفعال قرار گیرد و این درحالیست که اسپمها به دامنه بعدی تغییر میکنند. بعد از یکی دو روز این یکی هم موقتاً بازنشسته میشود و دیگری جایش را میگیرد.
سرقت دامنهها با CNAME سفارشی
پس چطور عاملین تهدید انقدر با دقت دامنههای سرقتی را اکسپلویت میکنند؟ یکی از متودها هدف قرار دادن دامنهها با سابقه CNAME است. CNAME نوعی رکورد DNS است که برای ریدایرکت کردن نام یک دامنه به دیگری استفاده میشود. سادهترین نمونه رکورد CNAME زیردامنه WWW است که معمولاً به دامنه اصلی ریدایرکت میشود. مانند مورد زیر:
- company.com → company.com
با این حال سناریوهای پیچیدهتر جایی رقم میخورند که رکورد CNAME به زیردامنهای به دامنهای تماماً جداگانه ریدایرکت شود. برای مثال این میتواند وبسایت تبلیغاتی باشد که روی دامنه دیگری میزبانی شده اما در معماری کلی منبع وب شرکت با رکورد CNAME تجمیع شده است.
- company.com → company2020promo.com
شرکتهای بزرگ با منابع وبی گسترده شاید سوابق CNAME و دامنههای مربوطهی مختلف داشته باشند. مشکل اینجاست که ادمینها همیشه نمیتوانند آمار همه اینها را بگیرند. در نتیجه ممکن است این وضعیت پیش بیاید که داکنه منقضی شده اما رکورد CNAME آن هنوز زیست میکند. اینها نوعی دامنهاند که مجرمان سایبریِ پشت کمپین SubdoMailing مشتاق به جمعآوریشان هستند. آنها به دنبال دامنههای متروکهای میگردند که هنوز دارای سوابق CNAME فعال هستند و به شرکت های بزرگی که زمانی مالک آنها بودند ارجاع می دهند. بیایید company2020promo.com را مثال بگیریم.
فرض کنیم این شرکت چندین سال پیش پس از یک کمپین تبلیغاتی این دامنه را رها کرده، اما مدیران فراموش کردند رکورد CNAME را حذف کنند. این به عوامل تهدید اجازه میدهد تا دامنه را برای خود ثبت کنند و به طور خودکار کنترل زیر دامنه promo.company.com را به دست آورند. با انجام این کار، آنها توانایی اجازه دادن به سرورهای ایمیل واقع در آدرسهای IP خود را برای ارسال ایمیل از زیر دامنه promo.company.com به دست میآورند – که در واقع شهرت دامنه اصلی، company.com را به ارث میبرند.
اکسپلویت سوابق SPF
تاکتیک دوم که مهاجمین SubdoMailing به کار میگیرند شامل اکسپلویت سوابق SPF میشود. رکوردهای SPF (فریمورک خطمشی فرستند[1]) که افزونه پروتکل SMTP آدرسهای آیپی و دامنهها مجاز برای ارسال ایمیل از دامنهای خاص را فهرست میکند. باری دیگر بگوییم که کاملاً طبیعی است سازمانهای بزرگ کلی آدرس و دامنه در این لیست داشته باشد (بنا به دلایل و اهداف مختلف). این ممکن است شامل دامنههای خارجی شود که یا اصلاً به شرکت تعلق ندارند و یا برای برخی مقاصد خاص استفاده میشوند: پروژههای موقت، ابزارهای میل انبوه، پلتفرمهای نظرسنجی کاربری و غیره. مشابه با سناریو CNAME این هم ممکن است پیش بیاید که ثبت دامنه منقضی شده باشد اما فرد یادش رفته دامنه مذکور را از رکورد SPF پاک کند. دامنههای این چنینی همچنین برای عاملین تهدید جایزه محسوب میشوند. برای مثال company.com، فرض کنید رکورد SPF شامل دامنههای خارجی مانند customersurveytool.com نیز میشود که متعلق به یک سرویس نظرسنجی کاربر است. حالا فرض بگیرید این سرویس دیگر وجود ندارد، ثبت دامنه منقضی شده است و مدیران فراموش کرده اند رکورد SPF را به روز کنند. با ثبت دامنه متروکه customersurveytool.com، مهاجمین توانایی ارسال ایمیل نه تنها از زیر دامنه، بلکه از دامنه اصلی شرکت، company.com را به دست میآورند.
نمونههایی از سرقت دامنه در کمپین SubdoMailing
چگونگی ایجاد چنین مشکلاتی را میتوان در مورد msnmarthastewartsweeps.com نشان داد. پورتال شبکه مایکروسافت (MSN) زمانی با سرآشپز مشهور مارتا استوارت در پروژهای برای تبلیغ MSN Messenger از طریق اهدای جوایز همکاری کرد. وبسایت پروژه از زیر دامنه marthastewart.msn.com استفاده میکرد که از طریق یک رکورد CNAME به دامنه خارجی msnmarthastewartsweeps.com هدایت میشد. همانطور که حدس زده میشود ثبت دامنه msnmarthastewartsweeps.com در نهایت منقضی شد اما ادمینهای MSN نتوانستند رکورد CNAME مربوطه را پاک کنند. در سال 2022 مهاجمین این دامنه را پیدا و ثبتش کردند و در نهایت توانستند از marthastewart.msn.com اقدام به ارسال ایمیل کنند. آنها با این کار از اعتبار مایکروسافت نتورک برای مقاصد شخصی خود سوءاستفاده کردند.
راهکارهای امنیتی
برای جلوگیری از سرقت دامنه و اسپم به نام شرکتتان توصیه میکنیم:
- SPF، DKIM و DMARC را پیادهسازی کنید.
- منابع وب شرکت خود از جمله دامنهها را به طور منظم موجودی کنید.
- از تمدید به موقع ثبت دامنه فعال اطمینان حاصل نمایید.
- سوابق DNS قدیمی را حذف کنید.
- سوابق SPF را با حذف آدرسهای بلااستفاده و دامنههایی که مجاز به ارسال ایمیل از طرف شرکت شما هستند، بهروزرسانی کنید.
[1] Sender Policy Framework
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
