100 万以上のドメインが DNS 攻撃に対して脆弱

新しいタイプのDNS攻撃により、何百万ものドメインが危険にさらされている マルウェア ハイジャック, 最近の報告書によると.

A 共同分析 InfobloxとEclypsiumによる調査では、100万以上のドメインが「 シッティング・ダックス攻撃. この巧妙な攻撃ベクトルは、ドメイン名システムの脆弱性を悪用する。 (DNS) 悪意のある人物が正当な所有者のアカウントにアクセスすることなく、密かにドメインを制御できるようにする.

座ったままのアヒルの攻撃の仕組み

シッティング・ダックス攻撃にはサイバー犯罪者が関与している 登録ドメインの乗っ取り DNSプロバイダーまたはレジストラの正当な所有者のアカウントにアクセスすることなく、権威あるDNSサービスまたはWebホスティングプロバイダーで. この方法は実行が簡単です, 成功率が高い, 他の既知のドメインハイジャック手法と比較して検出が困難である。, ぶら下がっているCNAMEなど.

ドメインが乗っ取られると, さまざまな悪意ある目的に悪用される可能性がある, 含む マルウェアの配布 指揮と スパムキャンペーン, 正当な所有者に関連する信頼を活用する.

歴史的背景と現在のシッティング・ダックスの搾取

この技術は、The Hacker Blogで初めて紹介されました。 2016, しかし、それはほとんど知られておらず、未解決の脅威のままである。. 以来 2018, より多い 35,000 この方法によりドメインが侵害されたと推定される. Infobloxの脅威インテリジェンス担当副社長, 博士. レニー・バートン, クライアントの間でこの脅威についての認識が驚くほど欠如していることを指摘した。, ダングリングCNAME攻撃についてよく問い合わせるが、シッティングダックスハイジャックについてはほとんど問い合わせない.

攻撃の要因と実行

Sitting Ducks攻撃は、ドメイン登録機関の誤った設定と権威DNSプロバイダーの不十分な所有権検証を悪用します。. この攻撃は、ネームサーバーが、サービス提供先として登録されているドメインに対して権威を持って応答できないことにも依存している。, 不完全な代表団として知られる. ドメインの権威DNSサービスの有効期限が切れた場合, 攻撃者はプロバイダーにアカウントを作成することができる, 所有権を主張する, そして最終的にはブランドになりすましてマルウェアを配布する.

博士. バートン氏はさらに、シッティング・ダックス攻撃には複数のバリエーションがあると説明した。, ドメインが登録され委任されているがプロバイダー側で構成されていない場合のシナリオを含む.

この攻撃ベクトルは多くの脅威アクターによって武器化されている, ロシアと関係のあるサイバー犯罪グループが12以上含まれている. 盗まれたドメインは 複数の交通分配システム (TDS) そのような 404 TDS (別名、Vacant Viper) および VexTrio Viper, そして、 さまざまな悪質な行為, 爆破予告のいたずらや セクストレーション詐欺, Spammy Bearとして追跡されたアクティビティクラスター.

緩和策と推奨事項

シッティングダックス攻撃から身を守るため, 組織は、ドメインポートフォリオに不完全な委任がないか定期的に監査し、DNSプロバイダーがそのような悪用に対して強力な保護を備えていることを確認することをお勧めします。. 博士. バートン氏は警戒の重要性を強調した, 組織に対して、所有するドメインに欠陥がないか確認し、シッティング・ダックスに対する保護を提供するDNSプロバイダーを使用するようアドバイスする。.

この攻撃手法は進化を続け、悪用され続けている。 DNSの脆弱性, ドメイン所有者とサイバーセキュリティの専門家は、デジタル資産を保護するために情報を入手し、積極的な対策を講じることが重要です。.