subdomain Takeover/DNS Zone Takeover이란 ?

 

subdomain Takeover(서브 도메인 탈취)

 

subdomain Takeover의 정의 및 발생 상황

 

subdomain takeover은 직역 그대로 서브도메인 탈취를 말한다.

이는 웹 애플리케이션에서 발생하는 취약점 중 하나이며, 서브도메인은 기업이나 조직의 웹 사이트를 식별하는 데 사용된다.

 

예를 들어, "example.com" 도메인의 블로그 페이지를 가리키는 페이지의 주소로

"blog.example.com"을 사용해 서브도메인인 blog를 사용할 수 있다.

 

서브도메인 탈취는 사용되지 않는 서브도메인의 제어를 획득하여

공격자가 그 서브도메인을 이용하여 사용자를 대상으로 하는 공격을 수행한다.

 

일반적으로 서브도메인 탈취는 아래와 같은 상황에서 발생할 수 있다.

 

먼저, 사이트 소유자가 서비스를 중단할 때 발생할 수 있다.

기존에 사용되던 서브도메인은 더 이상 서비스되지 않지만,

도메인의 DNS 레코드에는 해당 서브도메인에 대한 구성이 남아있을 수 있다.

그러면 공격자는 해당 서브도메인을 등록하여 도메인을 소유하게 되고, 서비스가 재개되면 해당 서브도메인을 악용할 수 있다.

 

그리고 사이트 소유자가 호스팅 제공업체를 변경할 때 발생할 수 있다.

기존의 서브도메인은 더 이상 호스팅되지 않지만, DNS 레코드는 여전히 이전 제공업체의 서버를 가리킬 수 있다.

이 경우, 공격자는 해당 서브도메인을 등록하여 이전 제공업체의 서버를 가로챌 수 있다.

 

 

 

 

---

 

subdomain Takeover의 원리

 

서브도메인 탈취는 주로 CNAME 레코드와 관련이 있다.

CNAME 레코드는 DNS 레코드의 타입 중 하나로 Canonical Name record라고 하며,

도메인 주소에 대한 별칭을 매핑한다.

 

 

https://record-study-steadily.tistory.com/58

DNS에 대해서, DNS 레코드/ A 레코드 / CNAME 레코드

 

 

subdomain Takeover의 원리는 다음과 같다.

 

공격자는 서브도메인을 탈취하기 위해 해당 도메인을 등록하고,

DNS 캐싱을 이용하여 해당 도메인이 이전 서비스 또는 호스팅 제공업체의 서버로 연결되도록 설정한다.

이러한 공격을 통해 공격자는 사용자의 트래픽을 서비스 중단된 서브도메인으로 리디렉션 하거나 악의적인 콘텐츠를 제공하여

사용자의 개인 정보를 탈취하거나 기타 공격을 수행할 수 있다.

 

 

 

 

---

 

subdomain Takeover 방지 및 대처

 

서브도메인 탈취를 방지하기 위해서는 사용되지 않는 서브도메인을 DNS 레코드에서 제거하고,

호스팅 제공업체를 변경할 때는 이전 제공업체와의 관련된 모든 DNS 레코드를 갱신해야 한다.

 

또한 DNS 캐싱을 효과적으로 관리하여 탈취된 서브도메인이 사용되지 않도록 해야 한다.

 

주기적으로 서브도메인을 모니터링하여 존재하지 않는 도메인이나 호스트로부터의 응답을 확인하는 것도 중요하다.

 

탈취된 서브도메인이 존재하는 경우, 즉각적인 조치를 취하여 대응할 수 있다.

 

DNSSEC이라는 것이라는 것도 있다.

이는 DNS 존의 데이터 무결성과 인증을 보장하는 보안 기술로 이를 구현함으로써

DNS 존의 무결성을 보호해 서브도메인 탈취와 같은 공격을 방지할 수 있다.

 

그리고 서버와 애플리케이션에서 사용되는 소프트웨어의 취약점을 정기적으로 스캐닝하고 보안 업데이트를 적용하면서,

DNS 서버 및 관련 소프트웨어의 최신 버전을 유지하여 알려진 취약점을 방지해야 한다.

 

 

 

---

 

DNS Zone Takeover

 

DNS Zone Takeover의 정의 및 발생 상황

 

DNS Zone Takeover은 DNS 존 탈취를 말하며,

악의적인 공격자가 DNS 존을 제어하고 해당 도메인과 관련된 모든 DNS 레코드를 조작하는 공격을 말한다.

DNS 존은 특정 도메인에 대한 DNS 정보를 포함하는 데이터베이스로, 도메인의 DNS 서버에서 관리된다.

 

DNS 존 탈취는 아래와 같은 상황에 발생할 수 있다.

 

먼저, 도메인 소유자가 도메인 등록을 갱신하지 않거나 만료된 경우,

악의적인 공격자가 해당 도메인을 등록하고 DNS 존을 제어할 수 있다.

이렇게 되면 공격자는 도메인과 관련된 모든 DNS 레코드를 조작하여 트래픽을 제어하거나

사용자를 대상으로 한 공격을 수행할 수 있다.

 

다음은 DNS 존에 대한 인증이 약하게 구성된 경우,

악의적인 공격자는 도메인의 DNS 서버를 위조하거나 변조하여 DNS 존을 탈취할 수 있다.

이를 통해 공격자는 DNS 레코드를 조작하여 트래픽을 가로채거나 사용자를 속일 수 있다.

 

DNS 서버 소프트웨어에 취약점이 존재하는 경우, 공격자는 해당 취약점을 악용하여 DNS 존을 탈취할 수 있다.

이는 DNS 서버 소프트웨어의 버그나 보안 결함을 이용하는 공격이 포함될 수 있다.

 

 

 

 

---

 

DNS Zone Takeover의 원리

 

DNS Zone Takeover의 원리는 다음과 같다.

 

도메인 소유자가 도메인 등록을 갱신하지 않거나 만료된 경우,

도메인 등록 정보는 일반적으로 공개적으로 접근 가능하게 된다.

공격자는 이를 이용하여 해당 도메인을 등록하고 DNS 존을 제어하게 된다.

 

DNS 존은 도메인의 DNS 정보를 포함하는 데이터베이스이다.

도메인 소유자는 DNS 존을 유지하고 관리하여 도메인과 관련된 DNS 레코드를 정의하고 업데이트한다.

하지만 DNS 존이 올바르게 구성되지 않은 경우, 악의적인 공격자는 해당 도메인의 DNS 존을 탈취할 수 있다.

 

DNS 존 탈취를 위해 공격자는 도메인을 등록한 후 해당 도메인의 DNS 존을 조작한다.

공격자는 도메인의 DNS 레코드를 조작하여 도메인 이름을 다른 IP 주소로 매핑하거나,

존재하지 않는 서브도메인을 추가하거나 수정할 수 있다.

 

DNS 존을 제어하게 된 공격자는 도메인과 관련된 모든 DNS 조회를 조작할 수 있다.

공격자는 트래픽을 가로채거나 리디렉션 하여 악성 사이트로 이용할 수 있다.

또한, 사용자가 도메인에 접근할 때 공격자는 악성 콘텐츠를 제공하거나 사용자의 개인 정보를 탈취할 수 있다.

 

 

 

 

---

 

DNS Zone Takeover 예방 및 대처

 

도메인 소유자는 도메인 등록을 주기적으로 갱신하고 만료일을 확인해야 한다.

만료를 방지하기 위해 도메인 등록을 자동 갱신하거나 알림을 설정하는 것이 좋다.

 

DNS 서버 소프트웨어를 최신 버전으로 유지하고 보안 패치를 적용하여 알려진 취약점을 방지해야 한다.

취약점 스캐닝 및 모니터링을 통해 새로운 취약점을 식별하고 대응해야 한다.

 

subdomain Takeover에서도 언급했듯이, DNSSEC(Domain Name System Security Extensions)을 이용할 수 있다.

이는 DNS 존의 데이터 무결성과 인증을 보장하는 보안 기술이다.

DNSSEC를 구현하여 DNS 존 탈취와 같은 공격을 방지할 수 있다.