حمله Subdomain Takeover چیست؟ ۱۲ روش جلوگیری از آن

دیدگاه‌ خود را بنویسید / وبلاگ / از

حمله Subdomain Takeover یا تصاحب ساب دامنه به این دلیل رخ نمی‌دهد که مهاجمان نابغه هستند؛ بلکه به دلیل اشکالات رکوردهای DNS اتفاق می‌افتد. پیگیری سرویس‌های قدیمی یا پاک‌سازی ساب دامین‌های بلااستفاده ممکن است کار هیجان‌انگیزی نباشد اما نادیده گرفتن آنها یک حفره امنیتی ایجاد می‌کند که نمی‌توان از آن چشم‌پوشی کرد.

در یک بررسی امنیتی، مایکروسافت بیش از ۶۷۰ ساب دامین آسیب‌پذیر را شناسایی نمود. به طور کلی، ۲۱٪ از رکوردهای DNS محتوای نامشخصی دارند و ۶۳٪ آنها خطای “۴۰۴ not found” را نشان می‌دهند. مهاجمان فقط منتظر هستند تا شما این موارد را فراموش کنید تا از آنها سوءاستفاده کنند.

در این مقاله مستقیماً به موضوع حمله Subdomain Takeover و اینکه چرا اتفاق می‌افتد، پرداخته خواهد شد.

حمله Subdomain Takeover یا تصاحب ساب دامین

تصویر(۱)

کِی، کجا و چگونه: سوالات کلیدی درباره تصاحب ساب دامین

جلوگیری از تصاحب ساب دامین نیازمند درک جزئیات فنی پشت حملات است. این نوع حملات معمولاً به دلیل رکوردهای DNS معلق، مدیریت نادرست سرویس‌ها یا نواقص موجود در فرآیندهای غیرفعالسازی رخ می‌دهند. با بررسی اینکه «چگونه»، «چه زمانی» و «کجا» این آسیب‌پذیری‌ها به وجود می‌آیند، می‌توان شرایط دقیق تهدیدات و نحوه سوءاستفاده مهاجمان را شناسایی کرد.

حمله Subdomain Takeover چیست؟

حمله Subdomain Takeover زمانی رخ می‌دهد که مهاجم به دلیل پیکربندی نادرست یا رها شدن رکوردهای DNS، کنترل یک ساب دامین را در دست می‌گیرد. ساب دامین‌های فراموش‌شده می‌توانند به عنوان نقاط نفوذ برای مهاجمان عمل کنند.

چه زمانی یک ساب دامین آسیب‌پذیر است؟

ساب دامین‌ها زمانی آسیب‌پذیر می‌شوند که رکوردهای DNS به سرویس‌های غیرفعال یا منابع منقضی‌شده اشاره کنند. به عنوان مثال، اگر تیم شما یک پروژه میزبانی‌شده روی Amazon S3 را متوقف نماید اما رکورد DNS همچنان به یک باکت (آمازون S3 داده ها را به عنوان اشیاء درون bucket ها ذخیره می کند) غیرفعال اشاره نماید، مهاجمان می‌توانند نام باکت را تصاحب و از آن سوءاستفاده کنند.

حمله Subdomain Takeover معمولاً کجا اتفاق می‌افتد؟

محیط‌هایی که از چندین سرویس ابری و ادغام با ابزارهای شخص ثالث استفاده می‌کنند، در معرض خطر بیشتری قرار دارند. پیکربندی‌های پیچیده ممکن است منجر به نادیده گرفتن ساب دامین‌ها شوند و فرصت‌هایی برای دسترسی غیرمجاز فراهم کنند.

مهاجمان چگونه از ساب دامین‌ها سوءاستفاده می‌کنند؟

مهاجمان به دنبال رکوردهای DNS معلق هستند؛ رکوردهایی که به سرویس‌های غیرفعال اشاره دارند. آنها با استفاده از ابزارهای اسکن DNS این آسیب‌پذیری‌ها را شناسایی کرده و به سرعت سرویس غیرفعال را یافته یا سروری برای رهگیری ترافیک راه‌اندازی می‌کنند. در این حالت حمله Subdomain Takeover رخ می دهد.

چگونگی شناسایی subdomain takeover

شناسایی آسیب‌پذیری‌ها و جلوگیری از حمله subdomain takeover به هشیاری مداوم نیاز دارد. انجام ممیزی‌های منظم DNS یک شروع خوب است اما استفاده از ابزارهای خودکار می‌تواند این فرآیند را آسان‌تر کند. سیستم‌های نظارت پیوسته، ضروری هستند زیرا هرگونه تغییر مشکوک در DNS را بلافاصله به شما اطلاع می‌دهند.

روش های جلوگیری از حمله subdomain takeover

تصویر(۲)

۱۲ روش برای جلوگیری از حمله subdomain takeover

آگاهی از خطرات مرتبط با تصاحب ساب دامین اولین قدم است اما کار اصلی زمانی آغاز می‌شود که اقدامات پیشگیرانه را پیاده‌سازی کنید. در ادامه ۱۲ استراتژی عملی برای محافظت از زیرساخت‌ها و جلوگیری از حمله subdomain takeover آورده شده است:

۱. ممیزی منظم رکوردهای DNS 

نباید شرایطی ایجاد شود که تیم توسعه شما یک ساب دامین موقت برای تست راه‌اندازی کرده و پس از اتمام پروژه، آن را فراموش کند. ممیزی‌های منظم DNS می‌توانند از چنین غفلت‌هایی جلوگیری کنند.

اقداماتی که می‌توانید انجام دهید:

  • تمام رکوردهای DNS فعلی و قدیمی را فهرست کنید تا دید کاملی از وضعیت داشته باشید.
  • از اتوماسیون برای شناسایی ناهماهنگی‌ها استفاده کرده و ممیزی‌ها را خودکارسازی کنید تا اقدامات دستی کاهش یابد.
  • هشدارهای آنی را برای تغییرات غیرمجاز تنظیم کنید.
  • ممیزی‌ها را به صورت فصلی یا پس از بروزرسانی‌های مهم انجام دهید تا خطرات را زودتر شناسایی نمایید.

شناسایی subdomain takeover

تصویر(۳)

۲. حذف ساب دامین‎های بلااستفاده

هنگام غیرفعالسازی یک اپلیکیشن، اغلب ساب دامین‌های مرتبط با آن نادیده گرفته می‌شوند، به خصوص وقتی تمرکز روی پروژه‌های آینده باشد. برای جلوگیری از سوءاستفاده (مانند دسترسی های غیرمجاز مهاجمان، حملات فیشینگ یا میزبانی محتوای مخرب)، باید یک پروتکل مشخص برای ارزیابی ضرورت هر ساب دامین ایجاد شود و موارد غیرضروری سریعا حذف شوند تا ریسک‌ها به حداقل برسند.

۳. نظارت مداوم روی تغییرات DNS

نظارت مداوم روی تغییرات DNS، مانند بروزرسانی آدرس‌های IP، رکوردهای CNAME و رکوردهای MX، برای جلوگیری از دسترسی غیرمجاز، اختلالات و حمله Subdomain Takeover، ضروری می باشد. عدم نظارت بر تغییرات DNS، ممکن است آسیب‌پذیری‌هایی ایجاد کند. 

برای ایمن ماندن و جلوگیری از حمله subdomain takeover، از روش‌های زیر استفاده کنید:

  • از ابزارهای نظارتی برای دریافت هشدارهای فوری در مورد تغییرات غیرمجاز DNS استفاده کنید.
  • اعلان‌های مربوط به بروزرسانی‌های مهم را با استفاده از پلتفرم‌هایی مانند Cloudflare’s DNS Analytics یا Nagios تنظیم نمایید.
  • به طور منظم لاگ‌ها را با ابزارهای پیشرفته تحلیل کنید.

۴. عدم استفاده از رکوردهای DNS وایلدکارد

تیم شما ممکن است برای راحتی کار از رکورد DNS وایلدکارد استفاده کند اما این کار می‌تواند به مرور زمان دامنه را در معرض خطر قرار دهد. رکوردهای وایلدکارد تمام درخواست‌های ساب دامین‌ها را به یک IP هدایت می‌کنند و به این‌ترتیب نقطه نفوذ گسترده ای برای دسترسی غیرمجاز ایجاد می‌شود و امکان رخ داد حمله Subdomain Takeover افزایش می یابد.

برای جلوگیری از این خطرات:

  • برای هر ساب دامین رکوردهای منحصر به فرد تنظیم کنید تا کنترل و نظارت دقیقی داشته باشید.
  • با اجتناب از رکوردهای وایلدکارد، ریسک دسترسی های غیرمجاز را کاهش دهید.
  • در DNS خود از رکوردهای مشخص استفاده کنید تا امنیت بهتری برقرار شود.
  • در بروزرسانی بعدی DNS ها، رکوردهای وایلدکارد را بررسی و آنها را با رکوردهای اختصاصی برای هر ساب دامین، جایگزین کنید تا نظارت کاملی داشته باشید.

مدیریت DNS برای جلوگیری از حمله subdomain takeover

تصویر(۴)

۵. استفاده از تأیید مالکیت DNS

هنگام ادغام یک سرویس جدید با ساب دامین، ممکن است ارائه‌دهنده از شما بخواهد که مالکیت دامنه را تایید کنید.

در ادامه نحوه مقابله با ادعاهای غیرمجاز توسط تأیید مالکیت DNS آمده است:

  1. دریافت جزئیات تأیید: یک رکورد TXT اختصاصی به عنوان توکن تأیید از ارائه‌دهنده دریافت کنید.
  2. اضافه کردن رکورد TXT: به تنظیمات DNS خود دسترسی پیدا کرده و این توکن را برای تأیید مالکیت وارد کنید.
  3. تکمیل تأیید: ارائه‌دهنده با بررسی رکورد TXT، مالکیت شما را تأیید می‌کند و اطمینان حاصل می‌شود که فقط تغییرات مجاز اعمال می‌شوند.
  4. بروزرسانی‌های منظم: پس از تغییرات شخصی یا بروزرسانی زیرساخت‌ها، این رکوردها را بروزرسانی کنید تا امنیت همچنان حفظ شود.

۶. انجام اسکن برای شناسایی آسیب‌پذیری‌ها

قبل از انتشار یک بروزرسانی بزرگ در زیرساخت‌ها، باید تمام آسیب‌پذیری‌های پنهان را شناسایی و برطرف کنید. اسکن آسیب‌پذیری ها به شناسایی رکوردهای معلق DNS و پیکربندی‌های نادرست کمک می‌کند و از بروز مشکلات امنیتی و حمله Subdomain Takeover جلوگیری می‌نماید. ابزارهایی وجود دارند که شبکه شما را تحلیل کرده و رکوردهای DNS غیرفعال و خطاهای پیکربندی را شناسایی می‌کنند. این اسکن‌ها نقاط ضعف دیده نشده در داخل سازمان را آشکار کرده و نواحی نیازمند بررسی را مشخص خواهند کرد.

۷. پیاده‌سازی روش های قدرتمند برای مدیریت منابع

با گسترش زیرساخت‌های فناوری و استفاده از سرویس‌های شخص ثالث جدید، پیگیری ساب دامین‌های مرتبط دشوار می‌شود. ابزارهای مدیریت هویت و دسترسی، به نظارت بر تمام ساب دامین‌ها و سرویس‌های شخص ثالث کمک می‌کنند و منابع دیجیتال شما را کامل و بروز نگه می‌دارند.

پیاده‌سازی روش های قدرتمند مدیریت سطح حمله، می‌تواند توانایی شناسایی و کاهش آسیب‌پذیری‌های بالقوه را بهبود بخشد. اتخاذ رویکرد “حداقل امنیت قابل‌قبول (MVS)” می‌تواند این فرآیند را بهینه کند و اطمینان دهد که اقدامات امنیتی، بدون ایجاد بار اضافی برای تیم‌های توسعه، به طور مؤثر پیاده‌سازی می‌شوند. این روش به داشتن تصویری واضح از منابع شما کمک می‌کند. بروزرسانی‌های منظم را به ویژه هنگام افزودن سرویس‌های جدید یا غیرفعال کردن سرویس‌های قدیمی، مرتبا انجام داده و بازبینی‌های دوره‌ای را انجام دهید. سازماندهی منابع دیجیتال، ریسک‌ها را کاهش داده و به شما اطمینان می‌دهد که تمام ساب دامین‌ها تحت نظارت هستند.

جلوگیری از حمله Subdomain Takeover-خودکارسازی مدیریت ساب دامین‌ها

تصویر(۵)

۸. خودکارسازی مدیریت ساب دامین‌ها

وقتی تیم شما در حال انتشار بروزرسانی‌های متعدد برای پروژه‌های مختلف است، پیگیری دستی تغییرات DNS می‌تواند طاقت‌فرسا شود. استفاده از ابزارهای پیشرفته خودکارسازی امنیت می‌تواند مدیریت ساب دامین‌ها را بهینه کرده و ریسک خطای انسانی را به طور قابل‌توجهی کاهش دهد.

راهکارهای زیر به شما کمک می‌کنند:

  • بروزرسانی‌ها و نظارت بر DNS را خودکار نمایید تا کنترل بیشتری داشته باشید و تیم شما بتواند روی کارهای استراتژیک تمرکز کند.
  • با تکیه بر خودکارسازی می‌توانید ضمن مدیریت تغییرات مکرر، امنیت سیستم‌ها را حفظ کنید.
  • استفاده از روال های کاری، به ایجاد وظایف خودکار بلندمدت و مطمئن برای مدیریت ساب دامین‌ها، کمک می‌کند.

۹. آموزش منظم امنیت سایبری به تیم‌ها

اگر طی یک ممیزی امنیتی متوجه شدید که برخی اعضای تیم از تهدیدات مربوط به ساب دامین‌ها آگاهی کافی ندارند، آموزش منظم می‌تواند این مشکل را برطرف کند. با بروز نگه‌داشتن دانش تیم در مورد تهدیدات جدید و بهترین شیوه‌های امنیتی، می‌توان از بروز مشکلات جلوگیری کرد.
تمرکز آموزش‌ها باید روی شناسایی آسیب‌پذیری‌ها، واکنش به حوادث امنیتی و اقدامات پیشگیرانه باشد. ایجاد یک محیط یادگیری دائمی باعث افزایش اعتماد به نفس تیم در حفاظت از منابع دیجیتال می‌شود. این رویکرد، خطاها را کاهش داده و آمادگی تیم را برای مقابله با تهدیدات جدید تضمین می‌کند.

۱۰. انجام تست نفوذ روی ساب دامین‌ها

بعد از یک بروزرسانی بزرگ در بخش زیرساخت، ممکن است نگران وجود شکاف‌های امنیتی ناشناخته باشید. به کارگیری افراد حرفه‌ای برای شبیه‌سازی حملات واقعی روی ساب دامین‌ها، روشی مؤثر جهت شناسایی نقاط ضعف می باشد که ممکن است در ممیزی‌های عادی نادیده گرفته شوند. این تست‌ها را مرتبا، به ویژه پس از تغییرات اساسی، انجام دهید تا به صورت پیشگیرانه آسیب‌پذیری‌ها را شناسایی و از حمله subdomain takeover جلوگیری کنید. این رویکرد باعث می‌شود تدابیر امنیتی شما قابل‌اعتماد باقی بمانند و ساب دامین‌ها از تهدیدات جدید در امان باشند.

۱۱. اعمال اصل حداقل دسترسی برای تنظیمات DNS

وقتی اعضای تیم دسترسی گسترده‌ای به تنظیمات DNS داشته باشند، خطر تغییرات غیرمجاز و در نتیجه حمله Subdomain Takeover افزایش می‌یابد. برای مقابله با این مسئله، از “اصل حداقل دسترسی” استفاده کنید:

  • دسترسی DNS را فقط به افرادی بدهید که بر اساس نقش‌های مشخص‌شده، به آن نیاز دارند. این کار نقاط نفوذ احتمالی برای مهاجمان را محدود می‌کند.
  • با پیاده‌سازی کنترل دسترسی مبتنی بر نقش (RBAC) در اپلیکیشن‌های SaaS، می‌توانید از اختصاص سطوح دسترسی مناسب به کاربران اطمینان حاصل کرده و امنیت را بهبود دهید.
  • معماری Zero Trust را برای کنترل دقیق دسترسی ها به کار بگیرید تا هیچ موجودیتی به طور پیش‌فرض مورد اعتماد نباشد.
  • به طور دوره‌ای ممیزی‌هایی انجام دهید تا مطمئن شوید سطح دسترسی‌ها همچنان مناسب و منطبق بر مسئولیت‌های فعلی است.
  • از کنترل‌های مبتنی بر نقش ها برای مدیریت مجوزها استفاده کنید تا صرفا دسترسی‌های ضروری اعطا شوند.

جلوگیری از حمله subdomain takeover با غیرفعالسازی ساب دامین‌ها

تصویر(۶)

۱۲. ایجاد رویه‌های شفاف برای غیرفعالسازی ساب دامین‌ها

وقتی تیم شما پروژه ای را به اتمام می‌رساند که شامل چندین ساب دامین موقت می باشد، بدون یک برنامه ریزی شفاف، ممکن است این ساب دامین‌ها باقی بمانند و خطرات امنیتی ایجاد کنند. جهت جلوگیری از این مشکل، یک فرآیند گام به گام برای غیرفعالسازی ساب دامین ها ایجاد کنید:

  1. فهرست دقیقی از ساب دامین‌ها و رکوردهای DNS پروژه تهیه نمایید.
  2. وابستگی‌هایی که ممکن است با غیرفعالسازی ساب دامین‌ها تحت تأثیر قرار گیرند را شناسایی و ثبت کنید.
  3. پس از توقف یک سرویس، تمام رکوردهای DNS مرتبط را حذف نمایید تا از ایجاد رکوردهای معلق جلوگیری شود.
  4. پروتکل‌های غیرفعالسازی ساب دامین‌ها را در روال های کاری مدیریت پروژه ادغام کنید تا این فرآیند به طور منظم و یکپارچه انجام شود.

جمع بندی

حمله تصاحب ساب دامین یا حمله Subdomain Takeover، یکی از تهدیدهای جدی در حوزه امنیت وب است که می‌تواند موجب افشای اطلاعات، حملات فیشینگ و آسیب به اعتبار برند شود. با پیاده‌سازی روش‌های پیشگیرانه مانند حذف رکوردهای DNS بلااستفاده، مانیتورینگ مستمر دامنه‌ها و به کار بردن ابزارهای امنیتی، می‌توان تا حد زیادی از وقوع این حمله جلوگیری کرد و سطح امنیت زیرساخت‌های آنلاین را به طور چشمگیری افزایش داد.

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

اسکرول به بالا