반응형
📌 목차
- Subdomain Takeover란?
- 공격 원리와 작동 방식
- 주요 공격 기법
- 보안 위협과 실제 사례
- 방어 방법 및 대응 방안
🔍 Subdomain Takeover란?
Subdomain Takeover(서브도메인 탈취 공격)은
삭제되었거나 미사용 상태인 서브도메인을 공격자가 점유하여 악성 사이트로 활용하는 공격 기법이다.
기업이나 조직이 클라우드 서비스(AWS, GitHub Pages, Heroku 등)를 사용하다가 서비스 연결을 해제하지만,
DNS 설정을 삭제하지 않으면 공격자가 이를 점유할 수 있음
📌 공격 시나리오
- 회사가 blog.example.com을 GitHub Pages에서 운영
- 이후 블로그 운영을 중단했지만, DNS 레코드(CNAME blog.github.io)는 삭제하지 않음
- 공격자가 blog.github.io를 등록하여 악성 페이지를 호스팅
- 사용자는 blog.example.com이 여전히 공식 사이트라고 믿고 접속 → 계정 탈취, 악성코드 유포
🚨 결과:
- 사용자의 개인정보 및 로그인 정보 탈취
- 피싱 사이트 운영
- 내부 시스템으로의 공격 경로 확보
⚙️ Subdomain Takeover 공격 원리
1️⃣ DNS에 등록된 서브도메인이 비활성 상태
- 도메인에 연결된 클라우드 서비스(AWS S3, GitHub Pages, Azure 등)가 삭제되었지만,
DNS 레코드가 남아 있는 경우 발생
2️⃣ 공격자가 동일한 서브도메인을 점유 가능
- 공격자는 해당 서비스에서 같은 서브도메인(blog.github.io)을 등록
- 서브도메인이 공격자의 컨트롤 하에 들어감
✅ 취약한 DNS 설정 예제
blog.example.com CNAME blog.github.io
✅ 공격자가 GitHub Pages에 동일한 서브도메인 생성 후 악성 페이지 호스팅
blog.github.io → 피싱 사이트🚨 결과:
- 피해자는 blog.example.com을 신뢰하고 악성 사이트 방문
- 공격자는 피싱, 세션 하이재킹, 악성 코드 배포 가능
🚨 주요 Subdomain Takeover 공격 기법
1️⃣ 삭제된 클라우드 서비스 점유
📌 공격 방식
- 사용자가 GitHub Pages, AWS S3, Heroku 등의 서비스를 해제했지만,
DNS 레코드를 삭제하지 않으면 공격자가 이를 점유 가능
✅ 공격 예제 (GitHub Pages)
blog.example.com CNAME blog.github.io🚨 결과:
- 공격자가 blog.github.io를 등록하여 blog.example.com을 장악
2️⃣ 미사용 SaaS 서브도메인 점유
📌 공격 방식
- Shopify, Zendesk, WordPress 등 SaaS 서비스 사용 후 도메인을 제거하지 않으면
공격자가 같은 서브도메인을 설정하여 악성 사이트 운영
✅ 공격 예제 (Shopify)
store.example.com CNAME example.myshopify.com🚨 결과:
- 공격자가 example.myshopify.com을 등록하여 store.example.com을 컨트롤
3️⃣ 클라우드 스토리지 서비스 점유 (AWS S3, Azure, Firebase)
📌 공격 방식
- AWS S3에서 파일을 삭제했지만, 버킷 이름을 재사용 가능
- 공격자가 동일한 버킷을 생성하면 기업 서브도메인을 악성 코드 배포에 활용 가능
✅ 공격 예제 (AWS S3)
files.example.com CNAME example-bucket.s3.amazonaws.com🚨 결과:
- 공격자가 example-bucket.s3.amazonaws.com을 다시 생성하면,
files.example.com을 악성 파일 배포에 사용 가능
⚠️ 보안 위협과 실제 사례
✅ 보안 위협
- 🛡️ 피싱 공격 → 사용자 로그인 정보 탈취
- 🎭 악성 코드 배포 → 신뢰할 수 있는 도메인에서 멀웨어 유포
- 🚀 스팸 및 악성 광고 운영 → 기업 도메인을 이용한 불법 광고 및 사기
- 💣 브랜드 및 기업 신뢰도 하락 → 공식 서브도메인이 공격자에게 장악
✅ 실제 발생 사례
- 2017년 Uber의 help.uber.com 서브도메인이 점유됨
- 공격자가 Uber의 서브도메인을 탈취하여 피싱 페이지 운영 가능
- 2021년 Microsoft의 여러 서브도메인에서 Subdomain Takeover 취약점 발견
- *.azurewebsites.net과 같은 클라우드 서비스 도메인이 점유 가능
🔐 방어 방법 및 대응 방안
✅ 1. 사용하지 않는 DNS 레코드 즉시 삭제
- 클라우드 서비스를 해제하면 DNS 레코드를 함께 제거
- 예제 (AWS Route 53에서 DNS 레코드 삭제)
aws route53 change-resource-record-sets --hosted-zone-id ZXXXXXXXXXX --change-batch file://delete-record.json
✅ 2. 주기적인 서브도메인 점검
✅ 3. 클라우드 서비스 등록 제한
- 조직 내에서 공식 계정을 통해서만 클라우드 서비스 등록 가능하도록 제한
- 예제 (AWS IAM 정책 적용)
{
"Effect": "Deny",
"Action": ["s3:CreateBucket"],
"Resource": "*"
}
✅ 4. DNS 보안 강화 (CNAME & ALIAS 검증)
- DNS CNAME 설정 시 존재하는 서비스인지 확인 후 등록
✅ 5. HSTS(HTTP Strict Transport Security) 적용
- 공격자가 HTTPS를 우회한 피싱 사이트를 운영하는 것을 방지
✅ 6. 웹 애플리케이션 방화벽(WAF) 적용
- Subdomain Takeover 공격 시도를 감지하여 차단
✅ 7. 정기적인 보안 테스트 수행
- Burp Suite, OWASP ZAP 등을 사용하여 서브도메인 취약점 점검
📌 해시태그
#SubdomainTakeover #웹보안 #도메인탈취 #DNS보안 #보안취약점 #피싱공격 #클라우드보안 #기업보안
반응형
'보안' 카테고리의 다른 글
| 🔥 HTTP Desync 공격: 프록시와 로드 밸런서의 요청 처리 차이를 악용한 보안 위협 🚨 (1) | 2025.02.22 |
|---|---|
| ⚡ Fast Flux DNS 공격: 지속적으로 변경되는 IP를 이용한 보안 탐지 우회 🚨 (0) | 2025.02.21 |
| 🌐 DNS Rebinding: 도메인을 내부 네트워크 IP로 변조하여 내부 시스템 침투 🚨 (0) | 2025.02.20 |
| 🚨 JWT 공격(JSON Web Token Exploitation): 취약한 서명 알고리즘을 악용한 토큰 변조 🔓 (0) | 2025.02.20 |
| 🚨 WebSockets 공격: 인증되지 않은 연결을 악용한 보안 취약점 🔓 (0) | 2025.02.20 |
