«Защита часто строится на контроле над известными точками входа. Но что, если атака начинается с точки, которая официально не существует? Domain Shadowing — это не просто создание поддомена, это эксплуатация слепого пятна в модели доверия DNS, где легитимный домен становится платформой для нелегитимной активности, оставаясь при этом технически «своим»».

Атаки теневого домена DNS

Современные системы защиты всё чаще фокусируются на периметре и известных угрозах, оставляя за скобками механизмы, которые по умолчанию считаются доверенными. Domain Shadowing (атака на теневой домен) — это метод, который использует эту уязвимость модели доверия. Вместо атаки на DNS-инфраструктуру жертвы злоумышленники создают скрытые поддомены на уже существующих и часто легитимных доменах, превращая их в плацдармы для вредоносной активности, остающиеся невидимыми для стандартного мониторинга.

Принцип работы: тень в системе имен

Ключевое отличие Domain Shadowing от фишинга или компрометации DNS-сервера — в точке приложения усилий. Атакующий не меняет записи для существующих поддоменов и не перехватывает трафик. Он создаёт новые поддомены, часто в большом количестве, используя для этого скомпрометированные учётные данные владельца домена или уязвимости в системах управления. Для внешнего наблюдателя и большинства систем безопасности основной домен остаётся чистым, а его репутация не страдает. Вся вредоносная активность происходит в «тени» — на вновь созданных поддоменах, которые не фигурируют в официальных документах и не отслеживаются администраторами исходной организации.

Например, у компании есть доверенный домен corpbank.ru. Злоумышленник, получив доступ к панели управления регистратора, создаёт поддомен update.corpbank.ru и направляет его на свой сервер. Для пользователя, получившего ссылку в фишинговом письме, адрес выглядит абсолютно легитимным, а системы защиты, проверяющие репутацию основного домена, могут не заподозрить подвох.

Как создаются теневые поддомены: пути компрометации

Успех атаки зависит от возможности бесконтрольно создавать поддомены. Это достигается несколькими основными способами.

Метод компрометации	Механика	Почему это работает
Взлом учётных записей регистратора или хостинга	Кража логинов и паролей к панели управления доменом (например, через фишинг, утечки баз данных или подбор).	Даёт полный контроль над DNS-зоной, позволяя создавать, изменять и удалять любые записи, включая поддомены.
Эксплуатация уязвимостей в CMS или веб-приложениях	Использование уязвимостей в системах типа WordPress, Joomla или самописных панелях для получения прав на уровне файловой системы или базы данных.	Позволяет модифицировать конфигурационные файлы (например, .htaccess) или скрипты, чтобы перенаправлять запросы к новым поддоменам на контролируемые серверы.
Злоупотребление API управления доменами	Использование скомпрометированных API-ключей или токенов для автоматического создания поддоменов через скрипты.	Позволяет быстро развернуть массовую инфраструктуру (сотни поддоменов за минуты), что затрудняет ручное отслеживание.

Цели и реализация атаки

Созданные теневые поддомены используются как для непосредственных атак на пользователей, так и для построения сложной инфраструктуры.

• Фишинг и кража учётных данных: Страницы, идентичные официальным формам входа банков, почтовых сервисов или корпоративных порталов.
• Распространение вредоносного ПО: Хостинг эксплойт-паков, троянов или ransomware, замаскированных под обновления легитимного ПО (update.corpbank.ru/setup.exe).
• Командно-управляющая инфраструктура (C2): Поддомены могут использоваться как каналы связи для ботнетов или для скрытого управления скомпрометированными системами, маскируя трафик под легитимные DNS- или HTTPS-запросы.
• Обход систем безопасности: Многие межсетевые экраны и системы фильтрации контента (URL-фильтры) доверяют доменам из белых списков. Теневой поддомен наследует это доверие.

Меры защиты и обнаружения

Борьба с Domain Shadowing требует смещения фокуса с проверки только основного домена на непрерывный анализ его DNS-активности.

1. Мониторинг и анализ DNS-запросов: Внедрение систем, способных обнаруживать аномалии в DNS-трафике. Ключевые индикаторы — внезапное появление большого количества новых поддоменов, особенно с «подозрительными» именами (содержащими слова like «update», «secure», «login»), и запросы к этим поддоменам от внутренних узлов сети.
2. Контроль целостности DNS-зоны: Регулярная сверка списка поддоменов в панели управления регистратора с утверждённым перечнем. Использование систем контроля изменений для конфигураций DNS.
3. Усиление безопасности учётных записей: Обязательное использование двухфакторной аутентификации (2FA) для доступа к панелям управления доменами и хостингом. Регулярная ротация API-ключей и аудит их использования.
4. Анализ репутации в реальном времени: Интеграция с сервисами репутационного анализа, которые могут оценивать не только домен верхнего уровня, но и динамически оценивать поддомены на основе множества факторов, включая возраст, географию хостинга и соседство с известными угрозами.
5. Активное сканирование: Периодический автоматический опрос поддоменов собственных доменов для выявления несанкционированных записей, ведущих на внешние IP-адреса.

Domain Shadowing в контексте MITRE ATT&CK

Эта техника не является изолированной, а встраивается в цепочки современных сложных атак.

• T1583.001 – Acquire Infrastructure: Domains (Получение инфраструктуры: Домены): Теневые поддомены — это форма приобретения инфраструктуры, но с минимальными затратами и высокой скрытностью.
• T1564.001 – Hide Artifacts: NTFS File Attributes (Сокрытие артефактов): По аналогии с файловой системой, создание скрытых поддоменов — это сокрытие артефактов в пространстве DNS.
• T1071.004 – Application Layer Protocol: DNS (Протокол прикладного уровня: DNS): Поддомены активно используются для организации C2-каналов.
• T1595 – Active Scanning (Активное сканирование): Злоумышленники могут использовать поддомены для зондирования сетей жертв, маскируя сканирование под легитимный трафик.

Ключевые выводы

Domain Shadowing эксплуатирует фундаментальный разрыв между техническим доверием к домену и фактическим контролем над всеми его производными. Защита от таких атак невозможна только с помощью периметровых средств или статических белых списков. Требуется реализация активного DNS-мониторинга, рассматривающего домен не как единую точку, а как динамически изменяющееся пространство с потенциально враждебными элементами внутри. Понимание этой техники через призму MITRE ATT&CK позволяет интегрировать меры противодействия в общую стратегию обнаружения и реагирования, закрывая слепое пятно, которым всё ещё часто остаётся DNS.