Un nuovo tipo di attacco DNS mette a rischio milioni di domini il malware e dirottamento, un rapporto recente rileva.
La analisi congiunta di Infoblox ed Eclypsium ha scoperto che oltre un milione di domini rischiano di essere dirottati tramite un potente metodo di attacco informatico noto come l'attacco dei bersagli facili. Questo sofisticato vettore di attacco sfrutta le vulnerabilità nel sistema dei nomi di dominio (DNS) per consentire ad attori malintenzionati di prendere furtivamente il controllo dei domini senza accedere all'account del legittimo proprietario.
La meccanica di un attacco facile
Un attacco Sitting Ducks coinvolge i criminali informatici dirottamento di un dominio registrato presso un servizio DNS autorevole o un provider di web hosting senza dover accedere all'account del legittimo proprietario presso il provider DNS o il registrar. Questo metodo è più facile da eseguire, ha un tasso di successo più elevato, ed è più difficile da rilevare rispetto ad altre tecniche note di dirottamento di dominio, come i CNAME sospesi.
Una volta che un dominio viene dirottato, può essere sfruttato per vari scopi dannosi, Compreso distribuzione di malware e condurre campagne di spam, sfruttando la fiducia associata al legittimo proprietario.
Contesto storico e attuale sfruttamento dei bersagli facili
La tecnica è stata descritta per la prima volta da The Hacker Blog in 2016, eppure rimane una minaccia in gran parte sconosciuta e irrisolta. Da 2018, più di 35,000 si stima che i domini siano stati compromessi utilizzando questo metodo. Vicepresidente dell'intelligence sulle minacce di Infoblox, Dr. Renée Burton, ha notato la sorprendente mancanza di consapevolezza di questa minaccia tra i clienti, che spesso chiedono informazioni sugli attacchi CNAME sospesi ma raramente sui dirottamenti di Sitting Ducks.
Fattori contribuenti ed esecuzione dell'attacco
L'attacco Sitting Ducks sfrutta configurazioni errate presso il registrar di domini e verifiche di proprietà insufficienti presso il provider DNS autorevole. L'attacco si basa anche sull'incapacità del nameserver di rispondere in modo autorevole per un dominio che è elencato per servire, conosciuta come delegazione zoppa. Se il servizio DNS autorevole per un dominio scade, un aggressore può creare un account con il provider, rivendicare la proprietà, e infine impersonare il marchio per distribuire malware.
Dr. Burton ha ulteriormente spiegato che esistono molteplici varianti dell'attacco Sitting Ducks, compresi gli scenari in cui un dominio è registrato e delegato ma non configurato presso il provider.
Questo vettore di attacco è stato utilizzato come arma da numerosi attori della minaccia, tra cui oltre una dozzina di gruppi di criminali informatici con legami con la Russia. I domini rubati hanno alimentato sistemi multipli di distribuzione del traffico (TDS) come 404 TDS (alias Vipera Vacante) e VexTrio Viper, e sono stati utilizzati in varie attività dannose, compresi falsi allarmi bomba e truffe sextortion, un cluster di attività tracciato come Spammy Bear.
Mitigazione e raccomandazioni
Per proteggersi dagli attacchi dei bersagli facili, si consiglia alle organizzazioni di controllare regolarmente i propri portafogli di domini per individuare deleghe non valide e di garantire che i propri provider DNS dispongano di solide protezioni contro tali exploit. Dr. Burton ha sottolineato l'importanza della vigilanza, consigliare alle organizzazioni di controllare i domini di loro proprietà per vedere se ce ne sono di scadenti e di utilizzare provider DNS che offrono protezione contro i bersagli facili.
Poiché questa tecnica di attacco continua ad evolversi e a sfruttare Vulnerabilità DNS, è fondamentale che i proprietari di domini e i professionisti della sicurezza informatica rimangano informati e implementino misure proattive per proteggere le proprie risorse digitali.