Hackerii au preluat mai mult de 35.000 de domenii în atacurile denumite Sitting Ducks, care permit revendicarea unui domeniu fără a avea acces la contul deținătorului la furnizorul de DNS sau la registrant.
Într-un atac Sitting Ducks, infractorii cibernetici exploatează neajunsurile de configurare la nivelul registrantului și verificarea insuficientă a proprietății deținătorului la furnizorii de DNS.
Cercetătorii de la furnizorul de securitate axat pe DNS, Infoblox, și de la compania de protecție hardware și firmware, Eclypsium, au descoperit că există mai mult de un milion de domenii care pot fi preluate zilnic prin atacurile Sitting Ducks.
Mai multe grupuri de infractori cibernetici ruși utilizează această metodă de atac de ani de zile și au folosit domeniile preluate în campanii de spam, escrocherii, livrare de malware, phishing și exfiltrare de date.
Deși problemele care fac posibile atacurile Sitting Ducks au fost documentate pentru prima dată în 2016 de Matthew Bryant, un inginer de securitate la Snap, vectorul de atac continuă să fie o modalitate mai ușoară de preluare a domeniilor decât alte metode mai cunoscute.
Pentru ca atacul să fie posibil, sunt necesare următoarele condiții:
– domeniul înregistrat folosește sau delegă serviciile de DNS autoritativ la un furnizor diferit de registrant
– serverul de nume autoritativ al înregistrării nu poate rezolva interogările pentru că lipsește informația despre domeniu (delegare strâmbă)
– furnizorul de DNS trebuie să permită revendicarea unui domeniu fără a verifica corespunzător proprietatea sau fără a cere acces la contul deținătorului
Variante ale atacului includ delegarea parțial strâmbă (nu toate serverele de nume sunt configurate greșit) și redelegarea către un alt furnizor de DNS. Cu toate acestea, dacă sunt îndeplinite condițiile de delegare strâmbă și furnizorul poate fi exploatat, domeniul poate fi preluat.
Infoblox explică că atacatorii pot folosi metoda Sitting Ducks pe domenii care folosesc servicii de DNS autoritativ de la un furnizor diferit de registrant, cum ar fi un serviciu de găzduire web.
Dacă serviciul de DNS autoritativ sau de găzduire web pentru domeniul țintă expiră, un atacator poate pur și simplu să-l revendice după ce creează un cont la furnizorul de servicii de DNS.
Acum, infractorul poate să configureze un site web rău intenționat sub domeniu și să configureze setările de DNS pentru a rezolva cererile de înregistrare a adresei IP la adresa falsă; și deținătorul legitim nu va putea să modifice înregistrările de DNS.
Infoblox și Eclypsium raportează că au observat mai mulți infractori care exploatează atacurile Sitting Ducks (sau Ducks Now Sitting – DNS) încă din 2018 și 2019.
De atunci, au existat cel puțin 35.000 de cazuri de preluare a domeniilor folosind această metodă. De obicei, infractorii cibernetici au deținut domeniile pentru o perioadă scurtă, dar au existat unele cazuri în care le-au păstrat până la un an.
Au existat și situații în care același domeniu a fost preluat de mai mulți infractori consecutiv, care l-au folosit în operațiunile lor timp de unu sau doi luni și apoi l-au trecut mai departe.
GoDaddy este confirmat ca victimă a atacurilor Sitting Ducks, dar cercetătorii spun că există șase furnizori de DNS care sunt în prezent vulnerabili.
Clusterele observate de activitate care folosesc Sitting Ducks sunt rezumate astfel:
Deținătorii de domenii ar trebui să revizuiască în mod regulat configurațiile lor de DNS pentru delegări strâmbe, în special pe domeniile mai vechi, și să actualizeze înregistrările de delegare la registrant sau la serverul de nume autoritativ cu servicii de DNS corecte și active.
Registranții sunt sfătuiți să efectueze verificări proactive pentru delegări strâmbe și să alerteze deținătorii. De asemenea, ar trebui să se asigure că un serviciu de DNS este stabilit înainte de a propaga delegările serverului de nume.
În cele din urmă, reglementatorii și organizațiile de standarde trebuie să dezvolte strategii pe termen lung pentru a aborda vulnerabilitățile DNS și să preseze furnizorii de DNS din jurisdicțiile lor să întreprindă mai multe acțiuni pentru a reduce atacurile Sitting Ducks.
Leave a Reply