Domain Shadowing o Camuflaje de dominio

Esta semana he tenido una experiencia desafiante en mi trabajo como administrador de sitios web. A un cliente al que le trabajo el SEO había sido víctima de un virus que crea subdominios maliciosos en su sitio web sin su conocimiento. Este tipo de ataque se conoce como Domain Shadowing y es una técnica sofisticada utilizada por ciberdelincuentes para comprometer sitios web y robar información.

Domain Shadowing o Camuflaje de dominio

El cliente me proporcionó acceso a su proveedor web y pude ver que, de hecho, se habían creado varios subdominios maliciosos. El virus había explotado una vulnerabilidad en el software de su sitio y había utilizado esa entrada para crear subdominios adicionales para alojar malware y phishing.

Identificar los subdominio afectado

Estaba buscando algunos buenos ejemplos de este tipo concreto de exploit, así que busqué en twitter #domainshadowing , que es una forma que tienen los expertos de seguridad de compartir información sobre ataques en curso.

Para solucionar el problema, tuve que realizar una investigación exhaustiva y eliminar todos los subdominios maliciosos que habían sido creados por el atacante. También actualicé el software del sitio web y fortalecí sus medidas de seguridad para evitar futuros ataques.

Este incidente es un recordatorio de la importancia de mantener actualizado el software del sitio web y de implementar medidas de seguridad sólidas para protegerlo de ataques maliciosos. Los ciberdelincuentes están siempre buscando nuevas formas de comprometer los sitios web, y es esencial estar preparado para proteger los datos y la integridad de los sitios web de nuestros clientes.

Qué es el Domain Shadowing o Camuflaje de dominio

El Domain Shadowing es una técnica de ataque informático que se utiliza para comprometer sitios web mediante la creación de subdominios maliciosos sin el conocimiento del propietario del sitio. En esta técnica, los ciberdelincuentes aprovechan una vulnerabilidad en el software del sitio web para crear subdominios adicionales en el mismo dominio principal del sitio web.

 

El objetivo principal de esta técnica es alojar malware y phishing en los subdominios maliciosos para engañar a los visitantes del sitio y robar su información personal o financiera. Los subdominios maliciosos creados a través del Domain Shadowing pueden ser difíciles de detectar para los propietarios del sitio web, ya que a menudo se crean con nombres de subdominios similares a los legítimos y se ocultan dentro del árbol de directorios del sitio web.

pharm-store.com

El Domain Shadowing o Camuflaje de dominio puede rotar subdominios asociados a un dominio para ocultar la actividad maliciosa. Los subdominios pueden apuntar a una única IP o a un conjunto de ellas, lo que hace que sea más difícil de detectar y bloquear.

 

- Flujo de eventos en una infección usando domain shadowing. FUENTE: McAfee-
– Flujo de eventos en una infección usando domain shadowing. FUENTE: McAfee-

Detectar el Domain Shadowing

Detectar el Domain Shadowing puede ser un proceso complicado, pero aquí te presento algunas posibles formas de hacerlo:

  1. Verifica la configuración DNS: revisa la configuración DNS de tu dominio para detectar posibles cambios o adiciones no autorizadas. Puedes utilizar herramientas como DNSViz o DNSstuff para analizar la configuración de DNS.
  2. Verifica los registros de DNS: revisa los registros de DNS para detectar posibles modificaciones maliciosas o añadidos no autorizados. Puedes utilizar herramientas como DNSdumpster para analizar los registros de DNS.
  3. Escanea tu sitio web: utiliza herramientas de escaneo de seguridad web como OWASP ZAP, WPScan o Nikto para detectar posibles vulnerabilidades y rastros de Domain Shadowing en tu sitio web.
  4. Supervisa el tráfico de red: utiliza herramientas como Wireshark o tcpdump para supervisar el tráfico de red y detectar posibles solicitudes o respuestas DNS sospechosas.

Recuerda que si sospechas que tu dominio ha sido comprometido, lo mejor es buscar ayuda de un experto en seguridad informática para detectar y eliminar el Domain Shadowing y otras posibles amenazas.

Donde aloja el código malicioso domain shadowing

El Domain Shadowing no es un código en sí mismo, sino una técnica que los atacantes utilizan para tomar el control de subdominios legítimos de un sitio web.

Para llevar a cabo el Domain Shadowing, los atacantes aprovechan una vulnerabilidad en el servidor de alojamiento de dominios o en el sitio web y crean subdominios maliciosos que apuntan a servidores controlados por ellos. A continuación, utilizan estos subdominios maliciosos para llevar a cabo actividades ilegales, como el envío de spam, el phishing o la distribución de malware.

Patrones de Domain Shadowing para buscar en archivos y base datos de una web

Aquí te dejo algunos patrones de Domain Shadowing que puedes buscar en los archivos y bases de datos de tu sitio web:

  • Subdominios que no se han creado intencionalmente
  • Archivos con nombres extraños y aleatorios que no pertenecen a la estructura normal del sitio web
  • Archivos PHP que contienen funciones de manipulación de DNS o que realizan consultas DNS
  • Archivos que contienen código que realiza redirecciones o carga recursos desde dominios desconocidos
  • Archivos que contienen código base64 o codificado de alguna otra forma que pueda ser utilizado para ocultar subdominios o direcciones IP maliciosas
  • Registros de DNS que apuntan a direcciones IP desconocidas o inesperadas
  • Archivos de registro del servidor que muestran actividad inusual en la base de datos o en el sistema de archivos

Ten en cuenta que estos son solo algunos patrones comunes y que los atacantes pueden utilizar diferentes técnicas para ocultar su actividad maliciosa. Es recomendable contar con un equipo de expertos en seguridad web para una detección y eliminación efectiva de este tipo de amenazas.

Patrones para buscar el código en los archivos y base datos de una web manipulación de DNS o que realizan consultas DNS

Aquí te dejo algunos patrones que puedes buscar en los archivos y bases de datos de tu sitio web para detectar manipulación de DNS o consultas DNS maliciosas:

  • Cualquier archivo PHP que contenga funciones relacionadas con DNS, como gethostbyname(), dns_get_record(), o checkdnsrr().
  • Archivos PHP que contienen funciones que realizan consultas a servidores DNS remotos o locales, o que contienen código que manipula las respuestas de DNS.
  • Cualquier archivo de configuración del servidor web (como httpd.conf o .htaccess) que contenga reglas de redirección que redirijan a dominios desconocidos o no autorizados.
  • Registros de acceso al servidor web que muestren tráfico inusual a servidores DNS desconocidos o no autorizados.
  • Archivos de registro del servidor DNS que muestren actividad inusual, como consultas inesperadas o tráfico de red inusual.
  • Archivos de configuración de servidores de correo electrónico que contengan registros MX sospechosos o inesperados.

Ten en cuenta que estos son solo algunos patrones comunes y que los atacantes pueden utilizar diferentes técnicas para ocultar su actividad maliciosa.

Como dexindexar un subdominio Domain Shadowing

Para desindexar un subdominio afectado por Domain Shadowing, sigue estos pasos:

Identificar los subdominio afectado

Identifica el subdominio específico que deseas desindexar. Esto puede hacerse mediante el análisis de tu sitio web o a través de herramientas de exploración de sitios web.

Identificar los subdominio afectado

Verificar la propiedad del subdominio en Google Search Console

Accede a Google Search Console (anteriormente conocido como Google Webmaster Tools) y verifica que eres el propietario del subdominio afectado. Si aún no has agregado el subdominio a tu cuenta de Search Console, deberás seguir los pasos de verificación proporcionados por Google.

verificar propiedad
verificar propiedad

Solicitar la eliminación de URL

En la sección de Cobertura del índice, puedes solicitar la eliminación de URL específicas. Ingresa la URL completa del subdominio que deseas desindexar y selecciona la opción para solicitar la eliminación.

Retirada de urls

Monitorear el proceso de desindexación

Después de enviar la solicitud de eliminación, Google procesará la solicitud y realizará las actualizaciones necesarias en su índice. Es importante monitorear regularmente la sección de Cobertura del índice en Google Search Console para verificar el estado de la desindexación.

Recuerda que el proceso de desindexación puede llevar tiempo, ya que depende de la frecuencia de rastreo de Google y de la actualización de su índice. Además, es importante asegurarse de que el subdominio afectado ya no esté activo en tu servidor y de tomar medidas para prevenir futuros ataques de Domain Shadowing.

Si tienes dificultades o necesitas más ayuda, te recomendamos consultar la documentación oficial de Google Search Console o buscar asesoramiento de un profesional de SEO.

Domain Shadowing perjudica al seo

Sí, el Domain Shadowing puede perjudicar gravemente el SEO de un sitio web, ya que los subdominios maliciosos creados por los atacantes pueden contener contenido malicioso, spam o enlaces fraudulentos que pueden ser detectados por los motores de búsqueda y penalizar al sitio web.

Además, si los subdominios maliciosos se utilizan para llevar a cabo actividades ilegales, como el envío de spam o la distribución de malware, es posible que los motores de búsqueda coloquen al sitio web en una lista negra, lo que puede tener graves consecuencias para la reputación del sitio web y su posicionamiento en los resultados de búsqueda.

Conclusión

El Domain Shadowing no se trata de un código específico que se inserta en un archivo, sino de una técnica que se utiliza para comprometer la seguridad de un sitio web mediante la creación de subdominios maliciosos. Para proteger tu sitio web contra el Domain Shadowing, es importante que implementes medidas de seguridad adecuadas, como mantener tus sistemas y software actualizados, utilizar contraseñas seguras y monitorear regularmente la actividad en tu sitio web.

Ofrezco servicios de desinfección Domain Shadowing o Camuflaje de dominio con más de 8 años de experiencia. Con herramientas avanzadas, puedo eliminar cualquier rastro de actividad maliciosa en su sitio web y garantizar su seguridad. Proteja su negocio confiando en mi experiencia y conocimientos.