1. DNS/hijacking/分類

DNS運用上の構成要素のどれを攻撃対象とするかによって分類しておく。

1. レジストラ/レジストリへの攻撃。ドメイン関連アカウント奪取を含む。「移管」悪用なども。
   • 失効したドメインの入手(drop catch?)、古いリンクを利用する。
2. DNSゾーンデータ/サーバーに対する攻撃 (lame delegationなど)
3. キャッシュサーバー(リゾルバー)に対する攻撃。DNS/毒盛で扱う。
4. 利用者の使用するリゾルバー指定を改変する。(dnschangerウィルス)
5. routerの管理権限を乗取って、DNS問合せ先を改変する。

紛らわしい名前とか、タイプミスを期待した偽サイトはハイジャック紛いというべきか。-- ToshinoriMaeno 2019-07-14 07:13:43

関連サーバーに侵入するとか、管理用アカウントを盗むとか、ルーティング情報を改変するとかの手法もある。

• レジストラwebインターフェースの不具合など。DNS/1/ゾーンサーバ/上の情報の改変

  • https://negi.hatenablog.com/entry/2013/01/27/232352

結果としては、DNS/1/レジストラ情報の改変などをもたらすが、DNSは攻撃の直接対象ではない。

末端で参照するリゾルバー/フォワーダー情報の改変も扱わない。(ウィルスによるもの)

• switcher, DNS changer など、ウィルスを利用するもの。WiFi /ルーターが狙われている。

JPRSがDNS/1/ドメイン名/ハイジャックと呼んでいるものは、1番だけのようだ。

レジストラによるハイジャック(忍者、zoho)などは対象外とする。

2. まえがき

DNS運用上の間違いなどに付け込んで、DNS/ドメイン名を乗取ろうとうするもの。../事例

• 名前解決に関係する要素はすべて攻撃対象になるものとして、考察する必要がある。 DNS/運用

DNS/Domain hijacking　　DNS/HijackingCampaign

---

• ../SubdomainTakeover とも呼ばれている。

  DNS/脅威/共用ゾーンサービス の問題を利用するものが多くなる。

DNSという仕組みに対する攻撃を系統的に分類するという仕事はまだされてなさそう。 （大規模な攻撃がすでにあったものさえも表面的な観察だけのようだ。） ここでは偽DNS情報をクライアントプログラム(例えば、web browser)に渡すとしたら、 という観点から、手法を検討してみる。

dangling pointer (NS, CNAME, MX)を狙う攻撃とまとめることも可能だと思う。

1. lame delegationを狙うのはDNS/ドメイン名ハイジャックと呼んでおく。(期限切れドメイン内NSも含まれる)

2. CNAME(A/AAAA) を狙うのが/SubdomainTakeover　と呼ばれているが、CNAMEにかぎらない。

これらはドメインハイジャックと呼ぶのがぴったり。（改変の必要はない。）

• さくらの制限(お知らせ)を過大評価していた。一番危険な穴が開いていた。期待過剰の思い込みであった。 サーバー移行などの操作期間中に乗取られ易い操作をする可能性がある。

  • 短期間ではあるが、遺棄された状態になるかも。:-) -- ToshinoriMaeno 2019-04-21 01:43:11

3. 分類

1. DNS/共用ゾーンサービスの問題点(権利確認の不在)を利用する。

   • 親子ゾーン同居時の処理不良；管理不良ドメインの後始末　(例：さくらゾーンサービスの不良）

2. DNSサーバー更新インタフェース(API?)の脆弱性を利用する。DNS/Dynamic Update

3. 期限切れ(誰でも取得できる)ドメインを指すドメイン名は乗取れる。(管理不良)
   • 偽情報を紛れ込ませるのではないので、使う側が気をつける以外には対策はない。(レジストラの責任も)
4. 共用DNSゾーンサービスの提供するサーバを上位サーバにNS登録しただけで、ゾーンを作成し忘れていると、
   • 勝手にゾーンサービスに登録されて危ない。(管理不良) (さくらは制限している）
5. 誰でも登録可能なドメイン名サービス内を指す名前を指すレコードを作成して、参照先を作成していないと、
   • 乗取られる。(管理不良) (azureであった。A, CNAME, NS, MX などがあり得る)
6. 利用しなくなったIPアドレスを指すレコードを放置していると、勝手なサーバを動かされるかも。(Aレコードなど)
   • (管理不良)

7. DNS/毒盛 リゾルバーキャッシュへの毒盛 (実装不良)

   • リゾルバー実装の弱点を利用する。

8. /Typosquatting 紛らわしい名前、見分けのつきにくい名前を登録しておく。ミスで嵌るのを拾う。

   • https://en.wikipedia.org/wiki/Typosquatting

4. 注

Typosquatting, also called URL hijacking, a sting site, or a fake URL,
is a form of cybersquatting, and possibly brandjacking which relies on mistakes
such as typographical errors made by Internet users 
when inputting a website address into a web browser.