Um novo tipo de ataque DNS coloca milhões de domínios em risco de malwares e sequestro, um relatório recente conclui.
UMA análise conjunta pela Infoblox e Eclypsium descobriu que mais de um milhão de domínios correm o risco de serem sequestrados por meio de um potente método de ataque cibernético conhecido como o ataque dos Sitting Ducks. Este sofisticado vetor de ataque explora vulnerabilidades no sistema de nomes de domínio (DNS) para permitir que agentes maliciosos assumam furtivamente o controle de domínios sem acessar a conta do proprietário legítimo.
A mecânica de um ataque de alvos fáceis
Um ataque Sitting Ducks envolve criminosos cibernéticos sequestrando um domínio registrado em um serviço DNS autorizado ou provedor de hospedagem na web sem precisar acessar a conta do proprietário legítimo no provedor ou registrador DNS. Este método é mais fácil de executar, tem uma taxa de sucesso maior, e é mais desafiador de detectar em comparação com outras técnicas conhecidas de sequestro de domínio, como CNAMEs pendurados.
Uma vez que um domínio é sequestrado, pode ser explorado para vários propósitos maliciosos, Incluindo distribuição de malware e conduzindo campanhas de spam, alavancando a confiança associada ao proprietário legítimo.
Contexto histórico e exploração atual dos alvos fáceis
A técnica foi detalhada pela primeira vez pelo The Hacker Blog em 2016, no entanto, continua a ser uma ameaça largamente desconhecida e por resolver. Desde a 2018, mais que 35,000 estima-se que os domínios tenham sido comprometidos usando este método. Vice-presidente de inteligência de ameaças da Infoblox, Dr. Renée Burton, notou a surpreendente falta de conscientização sobre esta ameaça entre os clientes, que frequentemente perguntam sobre ataques CNAME pendentes, mas raramente sobre sequestros Sitting Ducks.
Fatores contribuintes e execução de ataques
O ataque Sitting Ducks capitaliza configurações incorretas no registrador de domínio e verificação de propriedade insuficiente no provedor DNS autorizado. O ataque também depende da incapacidade do servidor de nomes de responder com autoridade para um domínio que ele está listado para servir, conhecida como delegação coxo. Se o serviço DNS autoritativo para um domínio expirar, um invasor pode criar uma conta com o provedor, reivindicar propriedade, e, finalmente, personificar a marca para distribuir malware.
Dr. Burton elaborou ainda que existem múltiplas variações do ataque Sitting Ducks, incluindo cenários onde um domínio é registrado e delegado, mas não configurado no provedor.
Este vetor de ataque foi transformado em arma por vários agentes de ameaças, incluindo mais de uma dúzia de grupos cibercriminosos com ligação à Rússia. Os domínios roubados alimentaram sistemas de distribuição de tráfego múltiplo (TDSs) tal como 404 TDS (também conhecido como Vacant Viper) e VexTrio Viper, e foram usados em várias atividades maliciosas, incluindo ameaças de bomba e scams sextortion, um cluster de atividades rastreado como Spammy Bear.
Mitigação e Recomendações
Para se proteger contra ataques de Sitting Ducks, as organizações são aconselhadas a auditar regularmente seus portfólios de domínios para delegações lame e garantir que seus provedores de DNS tenham proteções robustas contra tais explorações. Dr. Burton enfatizou a importância da vigilância, aconselhando as organizações a verificar os domínios que possuem para ver se algum é falso e a usar provedores de DNS que oferecem proteção contra alvos fáceis.
À medida que esta técnica de ataque continua a evoluir e a explorar Vulnerabilidades de DNS, é crucial que os proprietários de domínios e os profissionais de segurança cibernética se mantenham informados e implementem medidas proativas para proteger seus ativos digitais.