Ein neuer Typ von DNS-Angriff gefährdet Millionen von Domänen Malware und Entführung, Ein aktueller Bericht stellt fest.
A gemeinsame Analyse von Infoblox und Eclypsium hat aufgedeckt, dass über eine Million Domains dem Risiko ausgesetzt sind, durch eine potente Cyberangriffsmethode namens der Angriff der Sitting Ducks. Dieser raffinierte Angriffsvektor nutzt Schwachstellen im Domain Name System aus (DNS) um es böswilligen Akteuren zu ermöglichen, heimlich die Kontrolle über Domänen zu übernehmen, ohne auf das Konto des rechtmäßigen Eigentümers zuzugreifen.
Die Mechanik eines „Sitting Ducks“-Angriffs
Bei einem Sitting Ducks-Angriff sind Cyberkriminelle beteiligt Entführung einer registrierten Domain bei einem autoritativen DNS-Dienst oder Webhosting-Anbieter, ohne Zugriff auf das Konto des rechtmäßigen Eigentümers beim DNS-Anbieter oder Registrar zu benötigen. Diese Methode ist einfacher auszuführen, hat eine höhere Erfolgsquote, und ist im Vergleich zu anderen bekannten Domain-Hijacking-Techniken schwieriger zu erkennen, wie etwa hängende CNAMEs.
Sobald eine Domain gekapert wurde, Es kann für verschiedene böswillige Zwecke ausgenutzt werden, Inklusive Verbreitung von Schadsoftware und Dirigieren Spam-Kampagnen, Nutzung des Vertrauens, das mit dem rechtmäßigen Eigentümer verbunden ist.
Historischer Kontext und aktuelle Ausbeutung der unbesiegbaren Opfer
Die Technik wurde erstmals im Hacker Blog im 2016, Dennoch bleibt es eine weitgehend unbekannte und ungelöste Bedrohung. Seit 2018, mehr als 35,000 Schätzungen zufolge wurden Domänen mit dieser Methode kompromittiert. Vizepräsident für Bedrohungsinformationen bei Infoblox, Dr. Renee Burton, bemerkte das überraschende Unwissen über diese Bedrohung bei den Kunden, die häufig nach Dangling-CNAME-Angriffen fragen, aber selten nach Sitting-Ducks-Hijacking.
Einflussfaktoren und Angriffsausführung
Der Sitting-Ducks-Angriff nutzt falsche Konfigurationen beim Domänenregistrar und unzureichende Eigentumsüberprüfung beim autoritativen DNS-Anbieter aus. Der Angriff beruht auch auf der Unfähigkeit des Nameservers, autoritativ für eine Domain zu antworten, für die er aufgelistet ist., bekannt als lahme Delegation. Wenn der autoritative DNS-Dienst für eine Domäne abläuft, Ein Angreifer kann ein Konto beim Anbieter erstellen, Eigentum beanspruchen, und sich letztlich als die Marke ausgeben, um Malware zu verbreiten.
Dr. Burton erläuterte weiter, dass es mehrere Varianten des Sitting Ducks-Angriffs gibt, einschließlich Szenarien, in denen eine Domain registriert und delegiert, aber beim Provider nicht konfiguriert ist.
Dieser Angriffsvektor wurde von zahlreichen Bedrohungsakteuren als Waffe eingesetzt, darunter über ein Dutzend mit Russland verbundene Cyberkriminelle-Gruppen. Die gestohlenen Domains haben angeheizt mehrere Verkehrsverteilungssysteme (TDS) sowie 404 TDS (auch bekannt als Vacant Viper) und VexTrio Viper, und wurden verwendet in verschiedene bösartige Aktivitäten, einschließlich falscher Bombendrohungen und sextortion Betrug, ein Aktivitätscluster, der als Spammy Bear verfolgt wird.
Milderung und Empfehlungen
Zum Schutz vor „Sitting Ducks“-Angriffen, Organisationen wird empfohlen, ihre Domänenportfolios regelmäßig auf fehlerhafte Delegationen zu überprüfen und sicherzustellen, dass ihre DNS-Anbieter über einen robusten Schutz gegen solche Angriffe verfügen.. Dr. Burton betonte die Wichtigkeit der Wachsamkeit, Organisationen wird geraten, ihre Domänen auf ungültige Domänen zu überprüfen und DNS-Anbieter zu verwenden, die Schutz vor unbefugten Zugriffen bieten..
Da sich diese Angriffstechnik ständig weiterentwickelt und ausnutzt DNS-Schwachstellen, Für Domäneninhaber und Cybersicherheitsexperten ist es von entscheidender Bedeutung, auf dem Laufenden zu bleiben und proaktive Maßnahmen zum Schutz ihrer digitalen Assets zu ergreifen.