ТЕХНІЧНИЙ ОПИС

Зловмисники можуть збирати інформацію про мережеві домени жертви, яка може бути використана під час вибору цілі. Інформація про домени та їхні властивості може включати різноманітні деталі, зокрема якими доменами володіє жертва, а також адміністративні дані (наприклад, ім’я, реєстратор тощо) та більш практичну інформацію, таку як контакти (адреси електронної пошти та номери телефонів), бізнес-адреси та сервери імен (name servers).

Зловмисники можуть збирати цю інформацію різними способами, такими як прямі дії зі збору через Активне сканування або Фішинг для отримання інформації. Інформація про домени жертви та їхні властивості також може бути розкрита зловмисникам через онлайн-ресурси або інші доступні набори даних (наприклад, WHOIS).

Там, де використовуються сторонні хмарні провайдери, ця інформація також може бути розкрита через публічно доступні кінцеві точки API, такі як GetUserRealm та autodiscover у середовищах Office 365. Збір цієї інформації може виявити можливості для інших форм розвідки (наприклад, пошук у відкритих технічних базах даних, на вебсайтах або фішинг), створення оперативних ресурсів (придбання або компрометація інфраструктури) та/або початкового доступу (фішинг).

Навіщо хакеру знати властивості вашого домену?

  • Виявлення хмарного провайдера: Записи MX (поштові сервери) або відповіді API autodiscover миттєво кажуть хакеру: “Ця компанія сидить на Outlook”. Це дозволяє йому готувати специфічні фішингові сторінки під бренд Microsoft.
  • Пошук “забутих” ресурсів: Великі компанії часто реєструють домени для акцій або старих проектів (наприклад, promo-2022.company.ua). Якщо такий домен забули оновити або захистити, хакер може захопити його (Subdomain Takeover) і використовувати для легітимного фішингу.
  • Соціальна інженерія через WHOIS: Якщо в даних WHOIS вказано номер телефону системного адміністратора, зловмисник може зателефонувати йому (Vishing), представившись співробітником реєстратора доменів, і виманити паролі під приводом “проблем з делегуванням”.
  • Аналіз DNS-серверів: Якщо домен обслуговується власними DNS-серверами компанії, це пряма вказівка на IP-адреси внутрішньої інфраструктури, які можна атакувати.

Де зловмисники шукають ці дані?

  • WHOIS-сервіси: Надають дані про власника, дату реєстрації та сервери імен. Хоча зараз багато даних приховано через GDPR, історичні записи (Whois History) все ще зберігають стару інформацію.
  • Certificate Transparency Logs (CT Logs): Хакери моніторять публічні логи видачі SSL-сертифікатів (через сервіси типу crt.sh), щоб миттєво дізнатися про появу нових піддоменів компанії.
  • Хмарні API: Спеціальні скрипти опитують хмари Microsoft/Google/Amazon, щоб дізнатися, чи прив’язаний домен до їхніх сервісів.

Як захиститися?

  • WHOIS Privacy: Завжди використовуйте послугу приховування даних власника (Privacy Protection) при реєстрації доменів.
  • Аудит піддоменів: Регулярно перевіряйте список своїх піддоменів та видаляйте непотрібні записи (особливо записи CNAME, що ведуть на неіснуючі хмарні ресурси).
  • Захист реєстратора: Увімкніть двофакторну автентифікацію (2FA) та “замок домену” (Registrar Lock) у панелі керування реєстратора, щоб ніхто не міг змінити сервери імен без вашого відома.
  • Моніторинг сертифікатів: Слідкуйте за логами CT, щоб знати, чи не випустив хтось сторонній сертифікат на ваш домен (це може бути ознакою підготовки атаки).