1. DNS/hijacking

書き直しが必要だ。DNSにはハイジャックという言葉はふさわしくない。 -- ToshinoriMaeno 2020-11-10 11:22:39

https://securitytrails.com/list/ip/207.180.210.226

https://securitytrails.com/dns-trails

/subdomain /shadowing /how /IPaddress

https://archive.md/*.gov.kh

在日カンボジア王国大使館ではない。サイト情報? ドロップキャッチ https://www.cambodianembassy.jp/ 『公式のwebサイトではなく』という逃げ口上

新しいホームページ：https://rec-jpn.org/

1.1. ドメイン例

/a2hosting.com

-- namecheap --

/wb.printerfaqs.com

-- mysecurecloudhost.com --

• /wb.ycp.com.kh /wo.vic.org.kh /wo.seatv.com.kh

/wo.sghscdhaka.edu.bd

/wo.nirajan.info.np /wo.ceapred.org.np

/frontlinedance.co.uk

1.2. How to Prevent

https://www.namecheap.com/blog/prevent-domain-hijacking-and-cyber-attacks/

How to Prevent Domain Hijacking and Cyber Attacks Gary Stevens | August 7, 2020

/Houser Rebekah Houser: A Comprehensive Measurement-based Investigation of DNS Hijacking https://cpb-us-e2.wpmucdn.com/faculty.sites.uci.edu/dist/5/764/files/2021/10/srds21.pdf

ドメインのなりすまし、乗取を指していることが多い。

• だが、hijackingの意味とは違うのではないか。-- ToshinoriMaeno 2020-11-09 23:47:27

/さまざまな用法がある。

1.3. 違和感のある定義

JPRSの用語辞典 ドメイン名ハイジャック https://jprs.jp/glossary/index.php?ID=0208

DNS/運用上の不備や間違いに付け込んで、結果としてドメイン名を騙ること。(盗用)

• ゾーン作成時にドメイン名の権利確認をしていないことが影響しています。

DNS Hijacking: When the Domain Name System becomes a security risk https://www.ionos.co.uk/digitalguide/server/security/what-is-dns-hijacking/ (分析が不十分で、参考にならなかった)

1.4. 乗取

DNS/脅威/共用ゾーンサービス DNS/ドメイン名乗取

• /さまざまな用法　があって、指すものが異なっているので注意が必要だ。 攻撃手段はDNS全般に渡る。:-<

DNS/誤委譲は乗取に直結しています。特に危険です。(/awsdns, /cloudflare など)

• DNS/lame_delegation

https://0xpatrik.com/subdomain-takeover-ns/ (古い)

/挑戦状

brau.jp を乗取ろう。2020-01-01

lameが続いています。-- ToshinoriMaeno 2020-01-10 23:17:39

All Your DNS Records Point to UsUnderstanding the Security Threats of Dangling DNS Records

https://www.eecis.udel.edu/~hnw/paper/ccs16a.pdf /danglingDNSrecords

https://en.wikipedia.org/wiki/DNS_hijacking

DNS/ハイジャック -- DNS/Domain hijacking -- DNS/HijackingCampaign

キャッシュサーバーに偽返答を受け取らせて、偽情報を返答させる攻撃はDNS/毒盛で扱う。

https://securitytrails.com/blog/dns-hijacking

DNS hijacking using cloud providers – No verification needed (2017)

https://www.slideshare.net/fransrosen/dns-hijacking-using-cloud-providers-no-verification-needed-76812183

漫画村へのアクセスに警告する手法として取り上げられたのは

• ISPなどの提供するキャッシュサーバーに偽返答を答えさせて、別サイトに誘導するもの。DNS/毒盛

新着： -- ToshinoriMaeno 2019-09-16 22:50:42

https://securitytrails.com/blog/dns-hijacking

1.5. 分類

DNS運用上の構成要素のどれを攻撃対象とするかによって/分類しておく。

1. レジストラ/レジストリへの攻撃。ドメイン関連アカウント奪取を含む。「移管」悪用なども。
2. DNSゾーンデータ/サーバーに対する攻撃 (lame delegation, cname, mx lameなど)

3. キャッシュサーバー(リゾルバー)に対する攻撃。DNS/毒盛で扱う。

4. 利用者の使用するリゾルバー指定を改変する。(dnschangerウィルス)
5. routerの管理権限を乗取って、DNS問合せ先を改変するなど。

関連: DNS/脅威/共用ゾーンサービス DNS/運用

BGP hijackingは除外する。-- ToshinoriMaeno 2019-05-04 01:57:02

Secure Domain Name System (DNS) Deployment Guide https://www.nist.gov/publications/secure-domain-name-system-dns-deployment-guide-1

CNAME(A/AAAA) を狙うのが/SubdomainTakeover　と呼ばれているが、CNAMEにかぎらない。

lame delegationを狙うのは「ドメイン名ハイジャック」と呼んでおく。DNS/lame_delegation

dangling pointer (NS, CNAME, MX)を狙うというまとめ方も可能だと思う。

1.6. なりすまし詐欺

英語だと、catfishing, impostor scam などが当てはまる。

ここではcatfishを使うことにしてみる。 -- ToshinoriMaeno 2019-04-07 07:56:35

なりすましだけではないから、ややこしい。

2018年ころから、DNSが攻撃対象となったり、bug bounty の目標にされたりしている。-- ToshinoriMaeno 2019-04-20 23:01:38

• (金銭的)利益になることが知られるようになったようだ。 2014年からか。

The wave of domain hijackings besetting the Internet is worse than we thought Despite widespread attention since January, DNS campaign shows no signs of abating.

Dan Goodin - 4/18/2019, 12:00 AM (Cisco’s Talos security group reportの解説?)

https://arstechnica.com/information-technology/2019/04/state-sponsored-domain-hijacking-op-targets-40-organizations-in-13-countries/

The Orphaned Internet Domain Risk https://elkement.blog/2017/10/21/the-orphaned-internet-domain-risk/

• https://krebsonsecurity.com/2017/10/equifax-credit-assistance-site-served-spyware/

ハイジャックがいろんな意味で使われているので、検索してみた。(言葉の利用の変遷が分かるかも）

「/ドメイン名ハイジャック」と言われるものも含む。DNS/1/ドメイン名/ハイジャック

/遺棄ドメイン名は簡単に「流用」できる。(ハイジャックと呼ぶのは不適当)

• 似非サイトを作れると言えば、分り易いか。

JPRS: https://jpdirect.jp/service/domainlockservice-effective-for-domain-name-hijacking.html

• visa.co.jp NS, お名前が忍者を乗取った件、2018年であれば、zoho乗取 などがある。

• これら以外にも多数発生している。

/SubdomainTakeover とも呼ばれている。

1.7. 2019

microsoft 関連 notifications.buildmypinnedsite.com (CNAME)

• Video: Attack on Windows Live Tiles (1:03)

The abandoned host was vulnerable for a so-called subdomain takeover attack. The host was redirected to a subdomain of Azure. However this subdomain wasn't registered with Azure.

Azure subdomain could be re-registered
The takeover works via a so-called CNAME nameserver entry. It redirects all requests for the host to the unregistered Azure subdomain. With an ordinary Azure account, we were able to register that subdomain and add the corresponding host name. Thus we were able to control which content is served on that host.

2012年に発覚したもの。 DNS/脅威/共用ゾーンサービス/危険なサービス/JPRSの注意喚起

https://en.wikipedia.org/wiki/Domain_name_scams

DNS Abuseと、DNS運用者がすべきこと 2018年11月29日 https://jprs.jp/tech/material/iw2018-lunch-L3-01.pdf

CloudFront Hijacking https://disloops.com/cloudfront-hijacking/

/対策

1.8. 悪影響

DNSで入手する情報が間違っていたり偽だったりとかだと、本来の目的のサイトではない相手に接続することになる。

• 危ない。DNS/1/セキュリティ /ファーミング　https://en.wikipedia.org/wiki/DNS_hijacking

DNS hijacking or DNS redirection is the practice of subverting the resolution of Domain Name System (DNS) queries.

「覆す，打倒する，転覆させる, 誤らせる」あたりか。手口はなんでも含まれる。

DNS/セキュリティ/eNom

Why abandoned domain names are so dangerous https://www.csoonline.com/article/3300164/dont-abandon-that-domain-name.html … @csoonlineさんから

Hacking law firms with abandoned domain names https://blog.gaborszathmari.me/hacking-law-firms-abandoned-domain-name-attack/

https://0xpatrik.com/subdomain-takeover-ns/

No More Domain Squatting: Here's How To Protect Your Domain Name in 2019 https://www.whoishostingthis.com/blog/2013/11/06/domain-squatting/