T1584-001-盗取基础设施-域名
来自ATT&CK的描述
攻击者可能会劫持域名或子域名,以便在攻击目标过程中使用。域名注册劫持是指未经原注册人允许而改变域名注册的行为。攻击者可能获得被列为域名所有者的电子邮件账户。然后,攻击者可以声称他们忘记了自己的密码,以便对域名注册进行更改。其他的方法包括通过社会工程使域名注册服务台获得对账户的访问权,或者利用续费过程中的漏洞。
当组织的DNS设置指向不存在的或被取消的资源时,就会发生子域劫持。在这种情况下,攻击者可能会控制一个子域,利用与该域相关的信任来进行操作 。
测试案例
子域名劫持漏洞详解、挖掘和防护
https://blog.csdn.net/nini_boom/article/details/108308966
关于子域名劫持的一些总结
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
缓解措施
这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。
检测
这种活动大多发生在目标组织的能见度之外,使得对这种行为的检测变得困难。检测工作可能集中在攻击生命周期的相关阶段,如在指挥和控制期间。
相关TIP
[[T1584-002-盗取基础设施-DNS服务]] [[T1584-003-盗取基础设施-虚拟专用服务器]] [[T1584-004-盗取基础设施-服务器]] [[T1584-005-盗取基础设施-僵尸网络]] [[T1584-006-盗取基础设施-web服务]]
参考推荐
MITRE-ATT&CK-T1584-001
https://attack.mitre.org/techniques/T1583/001/
子域名劫持漏洞详解、挖掘和防护
https://blog.csdn.net/nini_boom/article/details/108308966
关于子域名劫持的一些总结