Over en million domæner sårbare over for Sitting Ducks DNS-angreb

En ny type DNS-angreb sætter millioner af domæner i fare malware og kapring, finder en nylig rapport.

A fælles analyse af Infoblox og Eclypsium har afsløret, at over en million domæner risikerer at blive kapret gennem en potent cyberangrebsmetode kendt som Sitting Ducks angrebet. Denne sofistikerede angrebsvektor udnytter sårbarheder i domænenavnesystemet (DNS) at tillade ondsindede aktører at snigende tage kontrol over domæner uden at få adgang til den legitime ejers konto.

Mekanikken i et Sitting Ducks-angreb

Et Sitting Ducks-angreb involverer cyberkriminelle kapring af et registreret domæne hos en autoritativ DNS-tjeneste eller webhostingudbyder uden at skulle have adgang til den legitime ejers konto hos hverken DNS-udbyderen eller registratoren. Denne metode er lettere at udføre, har en højere succesrate, og er mere udfordrende at opdage sammenlignet med andre kendte domænekapringsteknikker, såsom dinglende CNAME'er.

Når et domæne er kapret, det kan udnyttes til forskellige ondsindede formål, Herunder distribuere malware og dirigere spam kampagner, udnytte den tillid, der er forbundet med den legitime ejer.

Historisk kontekst og aktuel udnyttelse af de siddende ænder

Teknikken blev først detaljeret af The Hacker Blog i 2016, alligevel forbliver det en stort set ukendt og uløst trussel. Da 2018, mere end 35,000 domæner anslås at være blevet kompromitteret ved hjælp af denne metode. Infoblox' vicepræsident for trusselsefterretning, Dr. Renee Burton, bemærkede den overraskende mangel på bevidsthed om denne trussel blandt klienter, som ofte spørger om dinglende CNAME-angreb, men sjældent om Sitting Ducks-kapring.

Medvirkende faktorer og angrebsudførelse

Sitting Ducks-angrebet udnytter forkerte konfigurationer hos domæneregistratoren og utilstrækkelig ejerskabsbekræftelse hos den autoritative DNS-udbyder. Angrebet er også afhængigt af navneserverens manglende evne til at reagere autoritativt for et domæne, det er angivet til at betjene, kendt som lame delegation. Hvis den autoritative DNS-tjeneste for et domæne udløber, en angriber kan oprette en konto hos udbyderen, kræve ejerskab, og i sidste ende efterligne brandet til at distribuere malware.

Dr. Burton uddybede yderligere, at der er flere variationer af Sitting Ducks-angrebet, herunder scenarier, hvor et domæne er registreret og uddelegeret, men ikke konfigureret hos udbyderen.

Denne angrebsvektor er blevet bevæbnet af adskillige trusselsaktører, inklusive over et dusin russisk-nexus cyberkriminelle grupper. De stjålne domæner har fået brændstof flere trafikdistributionssystemer (TDS'er) såsom 404 TDS (aka Vacant Viper) og VexTrio Viper, og har været brugt i forskellige ondsindede aktiviteter, herunder bombetrusler fup og sextortion svindel, en aktivitetsklynge sporet som Spammy Bear.

Afhjælpning og anbefalinger

For at sikre mod Sitting Ducks-angreb, organisationer rådes til regelmæssigt at revidere deres domæneporteføljer for lamme delegationer og sikre, at deres DNS-udbydere har robust beskyttelse mod sådanne udnyttelser. Dr. Burton understregede vigtigheden af årvågenhed, råder organisationer til at tjekke de domæner, de ejer for at se, om nogen er halte, og at bruge DNS-udbydere, der tilbyder beskyttelse mod Sitting Ducks.

Da denne angrebsteknik fortsætter med at udvikle sig og udnytte DNS-sårbarheder, det er afgørende for domæneejere og cybersikkerhedsprofessionelle at holde sig informeret og implementere proaktive foranstaltninger for at beskytte deres digitale aktiver.