Hijacking di Domini: Compromise Domains (T1584.001)

L'hijacking di domini richiede una comprensione profonda dei meccanismi di registrazione e delle vulnerabilità nei processi di gestione. Per testare la resilienza aziendale, inizia mappando l'infrastruttura DNS con strumenti di reconnaissance.

Utilizza dnsrecon -d target.com -t std per enumerare tutti i record DNS del dominio target. Segui con sublist3r -d target.com per identificare sottodomini potenzialmente vulnerabili. La ricerca di record CNAME che puntano a servizi cloud dismessi rappresenta un vettore critico.

Per verificare subdomain takeover, esegui dig subdomain.target.com CNAME e controlla se il record punta a risorse inesistenti su piattaforme cloud. Se trovi un CNAME verso amazonaws.com senza risorsa attiva, potresti registrare quella risorsa e assumere controllo del sottodominio.

Il tool subjack -w subdomains.txt -t 100 -timeout 30 -ssl -c fingerprints.json automatizza la ricerca di sottodomini vulnerabili. Per domini Azure, verifica la disponibilità con nslookup subdomain.azurewebsites.net - una risposta NXDOMAIN indica opportunità di takeover.

Simula attacchi di social engineering contro registrar testando la robustezza delle procedure di recupero account. Documenta ogni tentativo e identifica debolezze nei processi di verifica identità. Strumenti come DNSTwist generano variazioni di domini per identificare possibili typosquatting già in atto.

Per testare la resilienza contro domain shadowing, configura un ambiente controllato dove aggiungi sottodomini nascosti mantenendo i servizi principali operativi. Monitora quanto tempo occorre prima che vengano rilevati attraverso i normali processi di audit DNS.

La detection di domini compromessi richiede visibilità oltre il perimetro aziendale tradizionale. Implementa monitoraggio proattivo dei record DNS per tutti i domini critici utilizzando servizi come Certificate Transparency logs.

Configura alert per modifiche ai record NS, SOA e registrant del dominio. Qualsiasi cambiamento non autorizzato deve generare un'allerta immediata di alta priorità. I log DNS interni devono essere correlati con feed di threat intelligence per identificare domini compromessi noti.

Monitora anomalie geografiche nei record DNS - un sottodominio che improvvisamente risolve verso IP in paesi inusuali può indicare compromissione. La baseline del comportamento normale DNS è cruciale per ridurre falsi positivi.

Implementa query periodiche automatizzate verso tutti i sottodomini aziendali documentati. Un cambio improvviso nella risoluzione o la comparsa di nuovi sottodomini non autorizzati deve triggerare investigazioni immediate.

Per il subdomain takeover, verifica regolarmente che tutti i CNAME puntino a risorse esistenti e sotto controllo aziendale. Script automatici possono controllare migliaia di record in pochi minuti, identificando vulnerabilità prima degli attaccanti.

Correla eventi di phishing con analisi dei domini mittenti - spesso gli attaccanti utilizzano domini compromessi per aumentare la credibilità. La detection comportamentale deve includere pattern di traffico anomalo verso domini trusted che potrebbero essere stati hijacked.

L'analisi forense di domini compromessi richiede correlazione tra molteplici fonti di evidenza. Inizia recuperando historical WHOIS data attraverso servizi come DomainTools per identificare quando sono avvenute modifiche ai record di registrazione.

I Passive DNS records forniscono visibilità storica sulle risoluzioni del dominio. Cambiamenti nei record A/AAAA possono indicare il momento esatto della compromissione. Strumenti come DNSDB o PassiveTotal sono essenziali per questa analisi retrospettiva.

Esamina i log del web server associato al dominio compromesso cercando pattern di accesso anomali. La presenza di web shells o modifiche non autorizzate ai file di configurazione può rivelare il metodo di compromissione iniziale.

APT1 ha dimostrato sofisticate capacità di hijacking mantenendo servizi legittimi operativi mentre utilizzava sottodomini per operazioni malevole. L'analisi dei loro TTP mostra preferenza per compromissione di account email dei registrant attraverso credential stuffing.

Durante C0010, gli attori hanno compromesso il dominio di una compagnia israeliana mantenendo il sito principale funzionante. L'analisi forense ha rivelato creazione di sottodomini utilizzati per staging di malware solo attraverso correlazione con campioni di malware che contenevano quegli URL hardcoded.

La ricostruzione temporale deve includere analisi dei Certificate Transparency logs per identificare quando sono stati emessi certificati SSL per sottodomini sospetti. Questa tecnica ha permesso di identificare l'infrastruttura di Lazarus Group in Operation Dream Job mesi dopo la compromissione iniziale.

Magic Hound (APT35) utilizza domini compromessi come elemento centrale delle loro campagne di spear phishing contro settori governativi e energetici mediorientali. Il gruppo mantiene un portfolio di domini legittimi compromessi, ruotandoli tra campagne per evitare blacklisting.

Kimsuky preferisce compromettere siti di piccole organizzazioni sudcoreane, sfruttando la fiducia locale per distribuire malware. I loro pattern mostrano targeting consistente di domini nel settore educativo e think tank, utilizzati poi contro obiettivi governativi.

Transparent Tribe ha dimostrato capacità evolutive nel domain hijacking, passando da semplice typosquatting a sofisticate operazioni di subdomain takeover. Il gruppo mantiene infrastruttura persistente attraverso domini compromessi in India e Pakistan.

Mustard Tempest opera la rete più estesa di domini compromessi documentata, con migliaia di siti legittimi che reindirizzano verso il loro Traffic Distribution System. L'analisi dei loro pattern mostra preferenza per compromissione di CMS vulnerabili, particolarmente WordPress obsoleti.

La campagna SolarWinds Compromise ha rivelato come APT29 utilizzi domini compromessi per C2 longevo e resiliente. Il gruppo seleziona accuratamente domini con alta reputazione e traffico limitato per minimizzare possibilità di detection.

I trend emergenti mostrano crescente sofisticazione nell'uso di servizi cloud per subdomain takeover, con gruppi APT che automatizzano la ricerca di record DNS vulnerabili su scala globale.

Framework MITRE ATT&CK T1584.001. Campagne documentate: C0010 (UNC3890), C0021 (APT29), Operation Dream Job (Lazarus), SolarWinds Compromise. Risorse detection: DomainTools, PassiveTotal, Certificate Transparency, DNSDB per analisi forense e monitoraggio proattivo.