Un nuevo tipo de ataque DNS pone en riesgo millones de dominios el malware y secuestro, Un informe reciente concluye que.
La análisis conjunto por Infoblox y Eclypsium ha descubierto que más de un millón de dominios corren el riesgo de ser secuestrados a través de un potente método de ciberataque conocido como El ataque de los patos sentados. Este sofisticado vector de ataque explota vulnerabilidades en el sistema de nombres de dominio. (DNS) Permitir que actores maliciosos tomen el control de dominios de manera sigilosa sin acceder a la cuenta del propietario legítimo..
La mecánica de un ataque de patos sentados
Un ataque de Sitting Ducks involucra a cibercriminales secuestro de un dominio registrado en un servicio DNS autorizado o un proveedor de alojamiento web sin necesidad de acceder a la cuenta del propietario legítimo ni en el proveedor de DNS ni en el registrador. Este método es más fácil de ejecutar., tiene una mayor tasa de éxito, y es más difícil de detectar en comparación con otras técnicas conocidas de secuestro de dominios., como los CNAME colgantes.
Una vez que un dominio es secuestrado, Puede ser explotado para diversos fines maliciosos., Incluido distribuyendo malware y conduciendo campañas de spam, Aprovechar la confianza asociada con el propietario legítimo.
Contexto histórico y explotación actual de los patos fáciles
La técnica fue detallada por primera vez por The Hacker Blog en 2016, Sin embargo, sigue siendo una amenaza en gran medida desconocida y sin resolver.. Desde 2018, más que 35,000 Se estima que se han comprometido dominios utilizando este método.. Vicepresidente de inteligencia de amenazas de Infoblox, Dr.. Renée Burton, Observó la sorprendente falta de conciencia sobre esta amenaza entre los clientes., que a menudo preguntan sobre ataques CNAME pendientes, pero rara vez sobre secuestros de patos sentados.
Factores contribuyentes y ejecución del ataque
El ataque Sitting Ducks se aprovecha de configuraciones incorrectas en el registrador de dominio y de una verificación de propiedad insuficiente en el proveedor de DNS autorizado.. El ataque también se basa en la incapacidad del servidor de nombres de responder con autoridad a un dominio al que está destinado., conocida como delegación coja. Si el servicio DNS autorizado de un dominio expira, Un atacante puede crear una cuenta con el proveedor., reclamar propiedad, y, en última instancia, hacerse pasar por la marca para distribuir malware..
Dr.. Burton explicó además que existen múltiples variaciones del ataque de los patos sentados., incluidos escenarios en los que un dominio está registrado y delegado pero no configurado en el proveedor.
Este vector de ataque ha sido utilizado como arma por numerosos actores de amenazas., incluidos más de una docena de grupos cibercriminales con vínculos con Rusia. Los dominios robados han alimentado sistemas de distribución de tráfico múltiple (TDSes) tal como 404 TDS (También conocido como Víbora vacante) y VexTrio Viper, y se han utilizado en Varias actividades maliciosas, incluyendo amenazas de bomba y engaños estafas Sextorsión, un grupo de actividades rastreado como Spammy Bear.
Mitigación y recomendaciones
Para protegerse de los ataques de los patos sentados, Se recomienda a las organizaciones que auditen periódicamente sus carteras de dominios para detectar delegaciones deficientes y se aseguren de que sus proveedores de DNS tengan protecciones sólidas contra tales ataques.. Dr.. Burton enfatizó la importancia de la vigilancia, Aconsejar a las organizaciones que comprueben los dominios que poseen para ver si alguno es ineficaz y que utilicen proveedores de DNS que ofrezcan protección contra los patos sentados..
A medida que esta técnica de ataque continúa evolucionando y explotando Vulnerabilidades del DNS, Es fundamental que los propietarios de dominios y los profesionales de la ciberseguridad se mantengan informados e implementen medidas proactivas para proteger sus activos digitales..