1. DNS/hijacking

書き直しが必要だ。DNSにはハイジャックという言葉はふさわしくない。 -- ToshinoriMaeno 2020-11-10 11:22:39

/Houser Rebekah Houser: A Comprehensive Measurement-based Investigation of DNS Hijacking https://cpb-us-e2.wpmucdn.com/faculty.sites.uci.edu/dist/5/764/files/2021/10/srds21.pdf


ドメインのなりすまし乗取を指していることが多い。

/さまざまな用法がある。

2. 違和感のある定義

JPRSの用語辞典 ドメイン名ハイジャック https://jprs.jp/glossary/index.php?ID=0208

DNS/運用上の不備や間違いに付け込んで、結果としてドメイン名を騙ること。(盗用)

DNS Hijacking: When the Domain Name System becomes a security risk https://www.ionos.co.uk/digitalguide/server/security/what-is-dns-hijacking/ (分析が不十分で、参考にならなかった)

3. 乗取

DNS/脅威/共用ゾーンサービス DNS/ドメイン名乗取

DNS/誤委譲は乗取に直結しています。特に危険です。(/awsdns, /cloudflare など)

https://0xpatrik.com/subdomain-takeover-ns/ (古い)

/挑戦状

brau.jp を乗取ろう。2020-01-01

lameが続いています。-- ToshinoriMaeno 2020-01-10 23:17:39

All Your DNS Records Point to UsUnderstanding the Security Threats of Dangling DNS Records

https://www.eecis.udel.edu/~hnw/paper/ccs16a.pdf /danglingDNSrecords


https://en.wikipedia.org/wiki/DNS_hijacking

DNS/ハイジャック -- DNS/Domain hijacking -- DNS/HijackingCampaign

キャッシュサーバーに偽返答を受け取らせて、偽情報を返答させる攻撃はDNS/毒盛で扱う。

https://securitytrails.com/blog/dns-hijacking

DNS hijacking using cloud providers – No verification needed (2017)

https://www.slideshare.net/fransrosen/dns-hijacking-using-cloud-providers-no-verification-needed-76812183

漫画村へのアクセスに警告する手法として取り上げられたのは

新着: -- ToshinoriMaeno 2019-09-16 22:50:42

https://securitytrails.com/blog/dns-hijacking

4. 分類

DNS運用上の構成要素のどれを攻撃対象とするかによって/分類しておく。

  1. レジストラ/レジストリへの攻撃。ドメイン関連アカウント奪取を含む。「移管」悪用なども。
  2. DNSゾーンデータ/サーバーに対する攻撃 (lame delegation, cname, mx lameなど)
  3. キャッシュサーバー(リゾルバー)に対する攻撃。DNS/毒盛で扱う。

  4. 利用者の使用するリゾルバー指定を改変する。(dnschangerウィルス)
  5. routerの管理権限を乗取って、DNS問合せ先を改変するなど。

関連: DNS/脅威/共用ゾーンサービス DNS/運用

BGP hijackingは除外する。-- ToshinoriMaeno 2019-05-04 01:57:02

Secure Domain Name System (DNS) Deployment Guide https://www.nist.gov/publications/secure-domain-name-system-dns-deployment-guide-1

CNAME(A/AAAA) を狙うのが/SubdomainTakeover と呼ばれているが、CNAMEにかぎらない。

lame delegationを狙うのは「ドメイン名ハイジャック」と呼んでおく。DNS/lame_delegation

dangling pointer (NS, CNAME, MX)を狙うというまとめ方も可能だと思う。

5. なりすまし詐欺

英語だと、catfishing, impostor scam などが当てはまる。

ここではcatfishを使うことにしてみる。 -- ToshinoriMaeno 2019-04-07 07:56:35

なりすましだけではないから、ややこしい。

2018年ころから、DNSが攻撃対象となったり、bug bounty の目標にされたりしている。-- ToshinoriMaeno 2019-04-20 23:01:38

The wave of domain hijackings besetting the Internet is worse than we thought Despite widespread attention since January, DNS campaign shows no signs of abating.

Dan Goodin - 4/18/2019, 12:00 AM (Cisco’s Talos security group reportの解説?)

https://arstechnica.com/information-technology/2019/04/state-sponsored-domain-hijacking-op-targets-40-organizations-in-13-countries/


The Orphaned Internet Domain Risk https://elkement.blog/2017/10/21/the-orphaned-internet-domain-risk/

ハイジャックがいろんな意味で使われているので、検索してみた。(言葉の利用の変遷が分かるかも)

/ドメイン名ハイジャック」と言われるものも含む。DNS/1/ドメイン名/ハイジャック

/遺棄ドメイン名は簡単に「流用」できる。(ハイジャックと呼ぶのは不適当)

JPRS: https://jpdirect.jp/service/domainlockservice-effective-for-domain-name-hijacking.html

/SubdomainTakeover とも呼ばれている。

6. 2019

microsoft 関連 notifications.buildmypinnedsite.com (CNAME)

The abandoned host was vulnerable for a so-called subdomain takeover attack. The host was redirected to a subdomain of Azure. However this subdomain wasn't registered with Azure.

Azure subdomain could be re-registered
The takeover works via a so-called CNAME nameserver entry. It redirects all requests for the host to the unregistered Azure subdomain. With an ordinary Azure account, we were able to register that subdomain and add the corresponding host name. Thus we were able to control which content is served on that host.

2012年に発覚したもの。 DNS/脅威/共用ゾーンサービス/危険なサービス/JPRSの注意喚起

https://en.wikipedia.org/wiki/Domain_name_scams

DNS Abuseと、DNS運用者がすべきこと 2018年11月29日 https://jprs.jp/tech/material/iw2018-lunch-L3-01.pdf

CloudFront Hijacking https://disloops.com/cloudfront-hijacking/

/対策

7. 悪影響

DNSで入手する情報が間違っていたり偽だったりとかだと、本来の目的のサイトではない相手に接続することになる。

DNS hijacking or DNS redirection is the practice of subverting the resolution of Domain Name System (DNS) queries.

「覆す,打倒する,転覆させる, 誤らせる」あたりか。手口はなんでも含まれる。

DNS/セキュリティ/eNom


Why abandoned domain names are so dangerous https://www.csoonline.com/article/3300164/dont-abandon-that-domain-name.html … @csoonlineさんから

Hacking law firms with abandoned domain names https://blog.gaborszathmari.me/hacking-law-firms-abandoned-domain-name-attack/

https://0xpatrik.com/subdomain-takeover-ns/

No More Domain Squatting: Here's How To Protect Your Domain Name in 2019 https://www.whoishostingthis.com/blog/2013/11/06/domain-squatting/

Moin2Qmail: DNS/hijacking (last edited 2021-11-23 01:55:49 by ToshinoriMaeno)