Een nieuw type DNS-aanval brengt miljoenen domeinen in gevaar malware en kaping, een recent rapport concludeert.
Een gezamenlijke analyse door Infoblox en Eclypsium heeft ontdekt dat meer dan een miljoen domeinen het risico lopen te worden gekaapt door een krachtige cyberaanvalmethode die bekend staat als de aanval van de zittende eenden. Deze geavanceerde aanvalsvector maakt gebruik van kwetsbaarheden in het domeinnaamsysteem (DNS) om kwaadwillende actoren in staat te stellen heimelijk de controle over domeinen over te nemen zonder toegang te krijgen tot het account van de rechtmatige eigenaar.
De mechanica van een aanval van een zittende eend
Bij een Sitting Ducks-aanval zijn cybercriminelen betrokken kapen van een geregistreerd domein bij een gezaghebbende DNS-service of webhostingprovider zonder dat er toegang nodig is tot het account van de rechtmatige eigenaar bij de DNS-provider of registrar. Deze methode is gemakkelijker uit te voeren, heeft een hoger slagingspercentage, en is moeilijker te detecteren in vergelijking met andere bekende domeinkapingstechnieken, zoals bungelende CNAME's.
Zodra een domein is gekaapt, het kan voor verschillende kwaadaardige doeleinden worden misbruikt, Inclusief het verspreiden van malware en uitvoeren spamcampagnes, het benutten van het vertrouwen dat verbonden is aan de rechtmatige eigenaar.
Historische context en huidige exploitatie van de zittende eenden
De techniek werd voor het eerst gedetailleerd beschreven door The Hacker Blog in 2016, toch blijft het een grotendeels onbekende en onopgeloste bedreiging. Sinds 2018, meer dan 35,000 Er wordt geschat dat domeinen met deze methode zijn gecompromitteerd. Vice-president van dreigingsinformatie bij Infoblox, Dr. Renée Burton, merkte op dat cliënten zich verrassend weinig bewust zijn van deze dreiging, die vaak vragen naar dreigende CNAME-aanvallen, maar zelden naar Sitting Ducks-kapingen.
Bijdragende factoren en aanvalsuitvoering
De Sitting Ducks-aanval profiteert van onjuiste configuraties bij de domeinregistrar en onvoldoende verificatie van het eigendom bij de gezaghebbende DNS-provider. De aanval is ook afhankelijk van het onvermogen van de nameserver om gezaghebbend te reageren voor een domein dat hij heeft opgegeven om te bedienen, bekend als lamme delegatie. Als de gezaghebbende DNS-service voor een domein verloopt, een aanvaller kan een account aanmaken bij de provider, eigendom claimen, en uiteindelijk het merk imiteren om malware te verspreiden.
Dr. Burton legde verder uit dat er meerdere variaties zijn van de Sitting Ducks-aanval, inclusief scenario's waarbij een domein is geregistreerd en gedelegeerd, maar niet geconfigureerd bij de provider.
Deze aanvalsvector is door talloze dreigingsactoren als wapen gebruikt, waaronder meer dan een dozijn cybercriminele groepen met een Russische link. De gestolen domeinen hebben de meerdere verkeersdistributiesystemen (TDS'en) zoals 404 TDS (ook bekend als Vacant Viper) en VexTrio Viper, en zijn gebruikt in diverse kwaadaardige activiteiten, inclusief bommeldingen en nepnieuws sextortion oplichting, een activiteitencluster gevolgd als Spammy Bear.
Mitigatie en aanbevelingen
Om zich te beschermen tegen aanvallen van Sitting Ducks, Organisaties wordt geadviseerd om hun domeinportefeuilles regelmatig te controleren op gebrekkige delegaties en ervoor te zorgen dat hun DNS-providers robuuste bescherming bieden tegen dergelijke exploits.. Dr. Burton benadrukte het belang van waakzaamheid, organisaties adviseren om de domeinen die ze bezitten te controleren om te zien of er een aantal lam zijn en om DNS-providers te gebruiken die bescherming bieden tegen 'sitting ducks'.
Naarmate deze aanvalstechniek zich blijft ontwikkelen en misbruik maakt van DNS-kwetsbaarheden, Het is van cruciaal belang dat domeineigenaren en cybersecurityprofessionals op de hoogte blijven en proactieve maatregelen implementeren om hun digitale activa te beschermen..