1. DNS/Cloudflare/乗取

lame delegation になっていると乗取られます。

ひとつのNSだけが返事をするようになったドメインもあります。 /cf1 /ns1

/177tt.com   /2020-03-28   /2020-04-06   /2020-04-08   /2020-04-09   /2020-04-10   /2020-04-11   /2020-04-14   /2020-04-19   /2020-04-20   /2020-04-21   /2020-04-22   /2020-04-23   /2020-04-25   /2020-04-26   /2020-04-27   /2020-04-28   /2020-04-29   /2020-04-30   /2020-05-01   /2020-05-02   /2020-05-03   /2020-05-16   /2020-05-17   /2020-05-20   /2020-05-21   /2020-05-22   /2020-05-23   /2021-12-08   /ateliers-numeriques.com   /atm24vip.com   /banned   /brau.jp   /cf1   /creatingcozy.com   /dallassalons.com   /dean.ns   /devere-group-banking.com   /discounthandbagsformen.com   /ethan   /goodgiftfair.com   /hank   /howard   /jack.ns   /konnor   /megan   /minnesotah.com   /mixed_response   /moeimage.com   /neccomputers.com   /nzact   /ray+dorthy   /samsungxcables.com   /sri.ns   /trendsux.com   /watson   /windowreplacementtampafl.com   /ww33aa.com   /きっかけ   /この説明   /乗取手法   /元howard   /防衛  

https://securitytrails.com/domain/ https://cloudflare.com/login.html

Contents

  1. DNS/Cloudflare/乗取
    1. 95.217.117.42
    2. 手口
    3. brau.jp
    4. CFの説明
    5. 乗取の危険性
    6. 乗取を疑う場合
      1. active
    7. 乗取手法
    8. 調査
      1. ゾーンをもたないドメイン名
    9. 乗取が疑われるドメイン名 1
    10. 乗取が疑われるドメイン名 2

https://www.cloudflare.com/learning/security/global-dns-hijacking-threat/

cloudflare DNS配下のNSを委譲登録しているドメインについての調査報告

1.1. 95.217.117.42

1.2. 手口

手口は不明ながら、/dallassalons.com が乗取であることは確実だ。

-- ToshinoriMaeno 2020-04-11 01:26:22

/防衛

cloudflareは特に対策していないようだ。

/2020-04-09 /2020-04-10 /2020-04-11

4月6日 /discounthandbagsformen.com /hostbank.com

4月7日 /devere-group-banking.com /atm24vip.com /creatingcozy.com

1.3. brau.jp

/sri.ns /rachel.ns /jack.ns

sri+rachel --> decker+kallie に変化したか。

brau.jp (jack+dahlia)

1.4. CFの説明

Security in place to prevent Domain Hijacking https://community.cloudflare.com/t/security-in-place-to-prevent-domain-hijacking/59326

When adding a new domain, don’t query DNS if nameservers are already set to cloudflare’s https://community.cloudflare.com/t/when-adding-a-new-domain-dont-query-dns-if-nameservers-are-already-set-to-cloudflares/89915

1.5. 乗取の危険性

zoneなしのドメイン名は乗取しやすいので、見つけたらリストに登録して追跡している。

Unfinished Cloudflare account setup exploit https://community.cloudflare.com/t/unfinished-cloudflare-account-setup-exploit/69269

1.6. 乗取を疑う場合

二つの登録NSの返すNSが委譲NSと不一致の場合、乗取を疑う。
  一致していれば、当面の調査からは除外する。

no zone -> 1 NS, 2NS と変化した場合には乗取を疑う。(exact matchでない時)

no zone --> active (match ではない) /nzact も怪しい。(NS移転もある。)

こういうドメインのサイトを見に行ってもまともなサイトはほとんど見かけない。(記憶にない。) -- ToshinoriMaeno 2020-04-01 01:45:47

NSにREFUSEDが含まれているものがzoneなしに変化したら、乗取だったとの推測が補強される。 -- ToshinoriMaeno 2020-04-02 00:49:46

1.6.1. active

active状態なのに、登録NSと返答NSが異なるドメインがある。/megan

activeにしておいてから、委譲を変更するという手順であれば、可能だ。-- ToshinoriMaeno 2020-03-23 09:21:21

activeにできるのは ドメインの権利者本人でなければ、cloudflareの管理者だと推測する。/ethan

1.7. 乗取手法

ということで、二つのNSをともに騙るのではなくて、ひとつだけという易しい方法の乗取を調査する。 -- ToshinoriMaeno 2020-03-26 14:20:40 /乗取手法

1.8. 調査

1.8.1. ゾーンをもたないドメイン名

2020-04-02 3.5万件になった。

1.9. 乗取が疑われるドメイン名 1

/doggonnit.com /googlegarbage.com /ww33aa.com /minnesotah.com

04-04 /dzinerchic.com /moeimage.com

ゾーンなしドメイン名の乗取は簡単なので、毎日のように発生している。

1.10. 乗取が疑われるドメイン名 2

cloudflare側が返答NSを加工しているのではないかという疑いも出てきた。

DDoS攻撃対策のために、queryを誘導する。 これなら考えられる。

別種の乗取らしきケースを見かけた。昨日は80件あまりだった。/ethan (遡ると600件以上ある。)

返事は特定のNSセットを指しているので、なんらかの手段があるらしい。 -- ToshinoriMaeno 2020-03-08 01:59:39

乗取犯はethanを割当られた人間だ。対象ドメインに権利を持つアカウントを乗取ったか。

Cloudflareでのゾーン登録の仕組み(ドメイン権限check)に穴があるのかも。-- ToshinoriMaeno 2020-03-13 00:40:44

MoinQ: DNS/Cloudflare/乗取 (last edited 2023-01-19 01:56:44 by ToshinoriMaeno)