1. DNS/Cloudflare/乗取

lame delegation になっていると乗取られます。

• 2021年11月5日に二つのNSがlameだったドメインについて、NSがバラバラの返事をするようになったドメインを

  136件検出しました。(権利者が意図的に設定しているとは考えづらい。) -- ToshinoriMaeno 2021-12-02 23:49:15

  /taken

ひとつのNSだけが返事をするようになったドメインもあります。 /cf1 /ns1

• /2021-12-08

---

https://securitytrails.com/domain/ https://cloudflare.com/login.html

https://www.cloudflare.com/learning/security/global-dns-hijacking-threat/

cloudflare DNS配下のNSを委譲登録しているドメインについての調査報告

1.1. 95.217.117.42

• 誘導先が共通なのは乗取の傍証だろう。

1.2. 手口

手口は不明ながら、/dallassalons.com が乗取であることは確実だ。

• 同種の乗取は毎日発生している。一日あたり数10件。
  • 以前なら簡単だった手口であるが、cloudflareが対策して、困難になっているはずの手口なのだ。

-- ToshinoriMaeno 2020-04-11 01:26:22

/防衛

• << <  2020 / 11 >  >>
  Mon	Tue	Wed	Thu	Fri	Sat	Sun
  						1
  2	3	4	5	6	7	8
  9	10	11	12	13	14	15
  16	17	18	19	20	21	22
  23	24	25	26	27	28	29
  30

---

cloudflareは特に対策していないようだ。

• ゾーンなしのドメイン名は危険です。乗取は続いています。-- ToshinoriMaeno 2020-04-12 01:13:02

---

/2020-04-09 /2020-04-10 /2020-04-11

4月6日 /discounthandbagsformen.com /hostbank.com

• /samsungxcables.com /2020-04-06

4月7日 /devere-group-banking.com /atm24vip.com /creatingcozy.com

• /trendsux.com

1.3. brau.jp

/sri.ns /rachel.ns /jack.ns

sri+rachel --> decker+kallie に変化したか。

• internot.jp, jprs.jp を 登録したら、sri + rachel を指定された。

brau.jp (jack+dahlia)

• 二つのNSが一致している場合には拒否されない? (特に以前に登録していた場合)

1.4. CFの説明

Security in place to prevent Domain Hijacking https://community.cloudflare.com/t/security-in-place-to-prevent-domain-hijacking/59326

• /この説明は不十分だし、正しくもない。

When adding a new domain, don’t query DNS if nameservers are already set to cloudflare’s https://community.cloudflare.com/t/when-adding-a-new-domain-dont-query-dns-if-nameservers-are-already-set-to-cloudflares/89915

1.5. 乗取の危険性

zoneなしのドメイン名は乗取しやすいので、見つけたらリストに登録して追跡している。

• 登録NSがふたつともREFUSEDを返す場合は危険だ。(すくなくとも以前は危険だった。)

Unfinished Cloudflare account setup exploit https://community.cloudflare.com/t/unfinished-cloudflare-account-setup-exploit/69269

1.6. 乗取を疑う場合

二つの登録NSの返すNSが委譲NSと不一致の場合、乗取を疑う。
  一致していれば、当面の調査からは除外する。

no zone -> 1 NS, 2NS と変化した場合には乗取を疑う。(exact matchでない時)

no zone --> active (match ではない) /nzact も怪しい。(NS移転もある。)

こういうドメインのサイトを見に行ってもまともなサイトはほとんど見かけない。(記憶にない。) -- ToshinoriMaeno 2020-04-01 01:45:47

NSにREFUSEDが含まれているものがzoneなしに変化したら、乗取だったとの推測が補強される。 -- ToshinoriMaeno 2020-04-02 00:49:46

1.6.1. active

active状態なのに、登録NSと返答NSが異なるドメインがある。/megan

• 通常の設定では簡単にはできそうもないので、どういう手順かを調べている。

activeにしておいてから、委譲を変更するという手順であれば、可能だ。-- ToshinoriMaeno 2020-03-23 09:21:21

• このためにはアカウント乗取に相当する操作が必要になる。そんな手間をかけるとは思えない。

activeにできるのは ドメインの権利者本人でなければ、cloudflareの管理者だと推測する。/ethan

1.7. 乗取手法

ということで、二つのNSをともに騙るのではなくて、ひとつだけという易しい方法の乗取を調査する。 -- ToshinoriMaeno 2020-03-26 14:20:40 /乗取手法

1.8. 調査

1.8.1. ゾーンをもたないドメイン名

• 22000件あまり。

2020-04-02 3.5万件になった。

1.9. 乗取が疑われるドメイン名 1

• (2個のNSのうちひとつが返事をする。委譲NSと不一致) 1300件 (2020-04-02)

/doggonnit.com /googlegarbage.com /ww33aa.com /minnesotah.com

---

04-04 /dzinerchic.com /moeimage.com

ゾーンなしドメイン名の乗取は簡単なので、毎日のように発生している。

• 一日あたり20件以上の新規ドメインが見つかるいる。-- ToshinoriMaeno 2020-03-28 03:42:15

1.10. 乗取が疑われるドメイン名 2

cloudflare側が返答NSを加工しているのではないかという疑いも出てきた。

• 許されるのだろうか。-- ToshinoriMaeno 2020-03-17 03:03:37

DDoS攻撃対策のために、queryを誘導する。 これなら考えられる。

別種の乗取らしきケースを見かけた。昨日は80件あまりだった。/ethan (遡ると600件以上ある。)

• 前日までゾーンなしだったのが、activeになった。でもExact matchではない。 whois 最終更新も最近ではない。

返事は特定のNSセットを指しているので、なんらかの手段があるらしい。 -- ToshinoriMaeno 2020-03-08 01:59:39

乗取犯はethanを割当られた人間だ。対象ドメインに権利を持つアカウントを乗取ったか。

• アカウント乗取にしては、手間をかけ過ぎに感じる。

Cloudflareでのゾーン登録の仕組み(ドメイン権限check)に穴があるのかも。-- ToshinoriMaeno 2020-03-13 00:40:44