Dirottamento di Domini: Compromise Infrastructure – Domains (T1584.001)

In un esercizio red team, simulare il dirottamento di un dominio non significa compromettere registrar reali, ma ricreare le condizioni tecniche che ne derivano: subdomain takeover su risorse dangling e domain shadowing su domini sotto il proprio controllo.

Il punto di partenza è l'enumerazione dei sottodomini del target alla ricerca di record DNS orfani. Subfinder (open source) è lo strumento più rapido per questa fase: il comando subfinder -d target.com -o subdomains.txt produce in pochi secondi un elenco di sottodomini aggregando decine di fonti passive. Per un'enumerazione più profonda, Amass (open source) nella modalità enum offre anche brute forcing e analisi di certificati: amass enum -brute -d target.com -o amass_results.txt.

Una volta ottenuto l'elenco, il passo successivo è identificare i record che puntano a risorse rivendicabili. can-i-take-over-xyz (open source) è un repository che cataloga i servizi vulnerabili a subdomain takeover e i relativi fingerprint. Lo strumento Subjack (open source) automatizza il controllo: subjack -w subdomains.txt -t 100 -timeout 30 -o takeover_results.txt -ssl verifica ciascun sottodominio contro le firme dei provider cloud noti. In alternativa, Nuclei (open source) di ProjectDiscovery include template specifici per il takeover: nuclei -l subdomains.txt -t http/takeovers/ -o nuclei_takeover.txt esegue il check con una batteria di firme aggiornata dalla community.

Per la simulazione del domain shadowing, il red teamer opera su un dominio registrato ad hoc nel proprio laboratorio. Dopo aver configurato il dominio primario con un sito innocuo, crea sottodomini come update.labdomain.com o cdn.labdomain.com puntandoli a un server C2. Questo riproduce fedelmente il comportamento documentato nelle campagne reali, dove il dominio principale resta funzionante e i sottodomini malevoli vivono nell'ombra.

La verifica DNS può essere condotta con dig +short CNAME subdomain.target.com per confermare se un CNAME punta a un servizio non più attivo. Un CNAME che restituisce un errore NXDOMAIN dal provider è un candidato ideale per il takeover. Per i record A orfani, host subdomain.target.com rivela rapidamente se l'IP di destinazione risponde ancora.

Per testare la catena post-compromissione, strumenti come Sliver (open source) o Mythic (open source) permettono di configurare listener C2 sul sottodominio simulato come compromesso, replicando il flusso operativo di gruppi come SideCopy e APT29.

La detection diretta del dirottamento di un dominio è complicata: l'azione avviene al di fuori dell'infrastruttura aziendale, presso registrar e provider DNS terzi. La strategia efficace è quindi a doppio binario: monitoraggio esterno proattivo sulla propria superficie domini e detection interna quando l'infrastruttura compromessa entra in contatto con gli endpoint.

Il primo livello è il monitoraggio dei record DNS aziendali. Servizi come DomainTools (a pagamento) e RiskIQ/Microsoft Defender Threat Intelligence (a pagamento) offrono alerting su modifiche ai record WHOIS, variazioni di nameserver e creazione di nuovi sottodomini. Un cambio di nameserver non pianificato o la comparsa di un sottodominio sconosciuto sono segnali ad alta priorità. In assenza di servizi commerciali, uno script periodico che esegue dig axfr (se il transfer di zona è autorizzato) o interroga le API di SecurityTrails (freemium) può rilevare sottodomini nuovi confrontando snapshot giornalieri.

Per il subdomain hijacking, il SOC dovrebbe mantenere un inventario aggiornato dei record DNS aziendali e verificare periodicamente che ogni CNAME e record A punti a risorse effettivamente attive. Un record CNAME verso un bucket S3 che restituisce "NoSuchBucket" o un endpoint Azure con errore 404 indica una finestra di takeover aperta. Strumenti come Nuclei (open source) possono essere integrati in pipeline CI/CD o cron job settimanali per automatizzare questo controllo.

Sul versante interno, la detection si concentra su ciò che accade quando un dominio compromesso viene usato in operazioni offensive. I log DNS dei resolver interni — raccolti tramite Sysmon (gratuito) con EventID 22 (DNSEvent) su Windows o tramite logging del resolver aziendale — sono la fonte primaria. Le regole dovrebbero cercare query verso sottodomini mai visti prima di domini noti, in particolare se quei sottodomini risolvono verso IP in geolocazioni inattese rispetto al dominio principale. Un sottodominio di un fornitore italiano che risolve verso un IP in un paese senza relazione commerciale è un indicatore significativo.

I Certificate Transparency logs rappresentano un'ulteriore fonte preziosa. Il servizio crt.sh (gratuito) consente di monitorare l'emissione di certificati per i propri domini: un certificato Let's Encrypt emesso per un sottodominio sconosciuto è un campanello d'allarme. L'integrazione di queste query in un SIEM tramite script periodici completa il quadro. Infine, l'enforcement di DNSSEC, SPF, DKIM e DMARC riduce l'impatto operativo del domain hijacking, limitando la capacità dell'attaccante di inviare email dal dominio compromesso.

L'analisi forense di un dominio dirottato si sviluppa su due piani: le fonti esterne che documentano la compromissione del dominio e gli artefatti endpoint che emergono quando quel dominio viene usato contro le vittime.

La ricostruzione parte dai dati WHOIS storici. Servizi come DomainTools Iris (a pagamento) e WhoisXML API (freemium) archiviano snapshot periodici dei record di registrazione: un cambio di nameserver, di email registrante o di registrar in una data specifica stabilisce il probabile momento della compromissione. Confrontare il WHOIS pre e post modifica rivela se l'attaccante ha spostato il dominio verso un registrar meno cooperativo o ha modificato i contatti tecnici.

Il passive DNS è il secondo pilastro. Database come Farsight DNSDB (a pagamento), SecurityTrails (freemium) e VirusTotal (freemium) conservano la storia delle risoluzioni DNS. Cercando il dominio compromesso si ottiene la cronologia dei record A, AAAA e CNAME: la comparsa di un nuovo IP di risoluzione in una data specifica correla con l'inizio delle operazioni offensive. Per il domain shadowing, il passive DNS rivela sottodomini che non appaiono nei record di zona ufficiali — un sottodominio come update.dominiolegittimo.com che risolve verso un IP diverso dal resto della zona è un indicatore forte.

I Certificate Transparency logs, consultabili tramite crt.sh (gratuito), documentano ogni certificato emesso per il dominio. Se l'attaccante ha ottenuto un certificato TLS per il sottodominio compromesso — prassi comune per rendere credibile il C2 su HTTPS — il timestamp di emissione del certificato fornisce un ulteriore punto nella timeline.

Sugli endpoint vittima, gli artefatti emergono nella fase di contatto con l'infrastruttura dirottata. Su Windows, la cache DNS può essere estratta con ipconfig /displaydns su sistemi live o analizzando il file di cache del resolver. I log Sysmon con EventID 22 registrano ogni query DNS con timestamp e processo richiedente, permettendo di correlare quale eseguibile ha contattato il dominio compromesso. I log del browser — cronologia, cache, cookie — in %LocalAppData% per Chrome e %AppData% per Firefox documentano eventuali visite al dominio se l'initial access è avvenuto via browser, come nel caso delle fake browser update page operate da Mustard Tempest.

Su Linux, il file /var/log/syslog o il journal di systemd-resolved contengono le query DNS, mentre la cache del browser in ~/.config/google-chrome o ~/.mozilla/firefox fornisce artefatti equivalenti. La correlazione tra il timestamp di prima query DNS verso il dominio compromesso e l'eventuale drop di payload costruisce il nesso causale tra infrastruttura dirottata e compromissione endpoint.

Il dirottamento di domini è una tecnica trasversale, adottata tanto da gruppi sponsorizzati da stati quanto da operazioni cybercriminali. L'analisi dei sei gruppi e quattro campagne associati a questa tecnica rivela pattern operativi distinti.

APT1 (G0006) rappresenta il caso storico di hijacking di FQDN associati a siti legittimi ospitati su hop point, una tecnica che permetteva di mascherare il traffico C2 dietro nomi di dominio con reputazione consolidata. L'approccio è diretto e infrastrutturale, coerente con l'operatività su larga scala attribuita a questo attore cinese.

Sul fronte iraniano emergono due profili complementari. Magic Hound (G0059) utilizza domini compromessi per ospitare link mirati a vittime specifiche di phishing, privilegiando la precisione del targeting sulla scala. Transparent Tribe (G0134) compromette domini per campagne malevole mirate, con un approccio più generico ma comunque orientato al targeting selettivo. Il cluster si completa con la campagna C0010, condotta da UNC3890 contro organizzazioni israeliane nei settori marittimo, governativo e sanitario, dove un dominio di una compagnia di navigazione israeliana è stato probabilmente compromesso — scelta che massimizza la credibilità verso i target nel medesimo settore.

Il versante nordcoreano è rappresentato da Kimsuky (G0094), che compromette siti legittimi per distribuire malware, e dalla campagna Operation Dream Job (C0022), attribuita al Lazarus Group, in cui domini compromessi in Italia e altri paesi sono stati impiegati come infrastruttura C2 per operazioni di cyber-spionaggio contro i settori difesa e aerospazio.

SideCopy (G1008), attore sud-asiatico, utilizza domini compromessi sia per C2 che per lo staging di malware, confermando un modello operativo che sfrutta l'infrastruttura dirottata lungo tutta la catena d'attacco.

La SolarWinds Compromise (C0024) documenta l'uso di domini compromessi per C2 da parte di APT29 in quella che resta una delle operazioni supply chain più sofisticate, con circa 18.000 clienti SolarWinds potenzialmente esposti. La campagna C0021, anch'essa con sovrapposizioni TTP riconducibili ad APT29, ha utilizzato domini legittimi compromessi per ospitare payload malevoli in un'operazione di spearphishing mirata a istituzioni pubbliche, ONG e settore privato.

Il trend trasversale è chiaro: il dominio compromesso serve da moltiplicatore di fiducia. Il pattern predittivo suggerisce che qualsiasi organizzazione con alta reputazione di dominio e postura DNS debole — in particolare aziende nei settori dei target abituali di questi gruppi — è un candidato per la compromissione infrastrutturale. Mustard Tempest (G1020) incarna il versante criminale di questa logica, operando una rete globale di siti compromessi che alimentano un traffic distribution system (TDS) per selezionare vittime da indirizzare verso pagine di falsi aggiornamenti browser, con distribuzione del malware Gootloader (S1138) che sfrutta a sua volta domini legittimi compromessi come rete di delivery.

Framework MITRE ATT&CK v16 — Tecnica T1584.001, Mitigazione M1056, Detection DET0863. Campagne: C0024 (SolarWinds Compromise), C0022 (Operation Dream Job), C0021, C0010. Software: S1138 (Gootloader). Gruppi: G0006, G0059, G0094, G0134, G1008, G1020. Integrato con conoscenza professionale per tool e procedure operative.