Un nouveau type d'attaque DNS met des millions de domaines en danger les logiciels malveillants et détournement, un rapport récent révèle.
Une analyse conjointe par Infoblox et Eclypsium a découvert que plus d'un million de domaines risquent d'être piratés par une méthode de cyberattaque puissante connue sous le nom de l'attaque des Sitting Ducks. Ce vecteur d'attaque sophistiqué exploite les vulnérabilités du système de noms de domaine (DNS) pour permettre aux acteurs malveillants de prendre furtivement le contrôle des domaines sans accéder au compte du propriétaire légitime.
La mécanique d'une attaque de canard assis
Une attaque de Sitting Ducks implique des cybercriminels détournement d'un domaine enregistré auprès d'un service DNS ou d'un fournisseur d'hébergement Web faisant autorité sans avoir besoin d'accéder au compte du propriétaire légitime auprès du fournisseur DNS ou du registraire. Cette méthode est plus facile à exécuter, a un taux de réussite plus élevé, et est plus difficile à détecter par rapport aux autres techniques de piratage de domaine connues, comme les CNAME suspendus.
Une fois qu'un domaine est piraté, il peut être exploité à diverses fins malveillantes, Y compris distribution de logiciels malveillants et la conduite campagnes de spam, tirer parti de la confiance associée au propriétaire légitime.
Contexte historique et exploitation actuelle des cibles faciles
La technique a été détaillée pour la première fois par The Hacker Blog en 2016, Pourtant, il s’agit d’une menace largement méconnue et non résolue. Depuis 2018, plus que 35,000 on estime que des domaines ont été compromis en utilisant cette méthode. Vice-président du renseignement sur les menaces chez Infoblox, Dr. Renée Burton, a noté le manque surprenant de sensibilisation à cette menace parmi les clients, qui s'enquièrent souvent des attaques CNAME suspendues mais rarement des détournements de Sitting Ducks.
Facteurs contributifs et exécution de l'attaque
L'attaque Sitting Ducks capitalise sur des configurations incorrectes au niveau du registraire de domaine et sur une vérification insuffisante de la propriété auprès du fournisseur DNS faisant autorité. L'attaque repose également sur l'incapacité du serveur de noms à répondre de manière autoritaire pour un domaine qu'il est censé servir., connu sous le nom de délégation boiteuse. Si le service DNS faisant autorité pour un domaine expire, un attaquant peut créer un compte auprès du fournisseur, revendiquer la propriété, et finalement usurper l'identité de la marque pour distribuer des logiciels malveillants.
Dr. Burton a ensuite expliqué qu'il existe plusieurs variantes de l'attaque Sitting Ducks, y compris les scénarios dans lesquels un domaine est enregistré et délégué mais non configuré chez le fournisseur.
Ce vecteur d’attaque a été utilisé comme arme par de nombreux acteurs de la menace, dont plus d'une douzaine de groupes cybercriminels liés à la Russie. Les domaines volés ont alimenté systèmes de distribution de trafic multiples (TDS) comme 404 TDS (alias Vipère Vacante) et VexTrio Viper, et ont été utilisés dans diverses activités malveillantes, y compris les canulars d'alerte à la bombe et escroqueries Sextorsion, un groupe d'activité suivi comme Spammy Bear.
Atténuation et recommandations
Pour se protéger contre les attaques des « Sitting Ducks », il est conseillé aux organisations d'auditer régulièrement leurs portefeuilles de domaines pour détecter les délégations boiteuses et de s'assurer que leurs fournisseurs DNS disposent de protections robustes contre de tels exploits. Dr. Burton a souligné l'importance de la vigilance, conseiller aux organisations de vérifier les domaines qu'elles possèdent pour voir si certains sont boiteux et d'utiliser des fournisseurs DNS qui offrent une protection contre les canards assis.
Alors que cette technique d’attaque continue d’évoluer et d’exploiter Vulnérabilités DNS, il est essentiel pour les propriétaires de domaines et les professionnels de la cybersécurité de rester informés et de mettre en œuvre des mesures proactives pour protéger leurs actifs numériques.