От години е установено, че множество заплахи се възползват от техниката за атака, наречена Sitting Ducks, за да превземат легитимни домейни и да ги използват във фишинг атаки и схеми за инвестиционни измами.
Констатациите идват от Infoblox, която заяви, че през последните три месеца е идентифицирала близо 800 000 уязвими регистрирани домейни, от които приблизително 9% (70 000) са били отвлечени впоследствие.
„Киберпрестъпниците са използвали този вектор от 2018 г. насам, за да отвлекат десетки хиляди имена на домейни“, заяви компанията за киберсигурност в доклад за задълбочено проучване, споделен с The Hacker News. „Сред домейните на жертвите са известни марки, организации с нестопанска цел и правителствени организации“.
Малко известният вектор на атака, въпреки че първоначално е документиран от изследователя по сигурността Матю Брайънт още през 2016 г., не привлече голямо внимание, докато мащабът на отвличанията не беше разкрит по-рано този август.
„Смятам, че [оттогава] има по-голяма осведоменост“, каза пред The Hacker News д-р Рене Бъртън, вицепрезидент по разузнаване на заплахите в Infoblox. „Въпреки че не сме забелязали броят на отвличанията да е намалял, наблюдаваме, че клиентите са много заинтересовани от темата и са благодарни за информираността относно собствените си потенциални рискове.
В основата си атаката Sitting Ducks позволява на злонамеренo лице да поеме контрола над даден домейн, като се възползва от неправилни настройки в настройките на системата за имена на домейни (DNS). Това включва сценарии, при които DNS насочва към грешен авторитетен сървър за имена.
Съществуват обаче определени предпоставки, за да се осъществи това: Регистрираният домейн делегира авторитетни DNS услуги на доставчик, различен от регистратора на домейна, делегирането е неубедително и атакуващият може да „заяви“ домейна при доставчика на DNS и да зададе DNS записи без достъп до профила на валидния собственик при регистратора на домейна.
Sitting Ducks е лесен за изпълнение и скрит, отчасти благодарение на положителната репутация, която имат много от отвлечените домейни. Някои от домейните, които са станали жертва на атаките, включват развлекателна компания, доставчик на IPTV услуги, адвокатска кантора, доставчик на ортопедични и козметични продукти, тайландски онлайн магазин за дрехи и фирма за продажба на гуми.
Заплахите, които превземат такива домейни, се възползват от позиционирането на марката и от факта, че е малко вероятно те да бъдат маркирани от инструментите за сигурност като злонамерени, за да постигнат стратегическите си цели.
„Трудно е да се открие, защото ако домейнът е бил отвлечен, той не е куц“, обяснява Бъртън. „Без никакъв друг признак, като например фишинг страница или зловреден софтуер, единственият сигнал е смяната на IP адресите.“
„Броят на домейните е толкова огромен, че опитите да се използват промените в IP адресите за индикация на злонамерена дейност биха довели до много фалшиви положителни резултати. Ние се „връщаме“ към проследяването на заплахите, които превземат домейни, като първо разбираме как действат те поотделно и след това проследяваме това поведение.“
Важен аспект, който е общ за атаките на Sitting Ducks, е ротационното отвличане, при което един домейн се превзема многократно от различни заплахи с течение на времето.
„Заплахите често използват използваеми доставчици на услуги, които предлагат безплатни акаунти като DNS Made Easy, като библиотеки за заемане, обикновено отвличайки домейни за 30 до 60 дни; но сме виждали и други случаи, в които участниците задържат домейна за дълъг период от време“, отбелязват от Infoblox.
„След изтичането на краткосрочния безплатен акаунт домейнът се „губи“ от първия извършител и след това се паркира или се заявява от друг.“
По-долу са изброени някои от известните действащи лица за заплахи в областта на DNS, за които е установено, че „пируват“ с атаки от типа „Sitting Ducks“.
Според Infoblox редица филиали на VexTrio Viper, като GoRefresh, също са участвали в атаки на Sitting Ducks, за да провеждат фалшиви онлайн фармацевтични кампании, както и измами с хазарт и запознанства.
„Имаме няколко колектива, които изглежда използват домейните за зловреден софтуер C2, при който екфилтрацията се изпраща чрез пощенски услуги“, каза Бъртън. „Докато други ги използват за разпространение на спам, тези участници конфигурират DNS домейните си само за получаване на поща.“
Това показва, че лошите използват иззетите домейни по широк спектър от причини, като по този начин излагат както бизнеса, така и физическите лица на риск от зловреден софтуер, кражба на удостоверения и измами.
„Открихме няколко участници, които са отвлекли домейни и са ги задържали за дълги периоди от време, но не успяхме да определим целта на отвличането“, заключава Infoblox. „Тези домейни обикновено имат висока репутация и обикновено не се забелязват от доставчиците на услуги за сигурност, което създава среда, в която хитри извършители могат да доставят зловреден софтуер, да извършват необуздани измами и да фишират потребителски идентификационни данни без последствия.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.