网络第5域

“坐地鸭”DNS攻击让黑客劫持了超过35000个域名

字号+作者: 来源:cnBeta 2024-08-02 15:39 评论(创建话题) 收藏成功收藏本文

威胁者在所谓的"SittingDucks"攻击中劫持了35000多个注册域名,这些攻击允许在无法访问域名所有者在DNS提供商或注册商的帐户的情况下申请域名。在Sittin'...

威胁者在所谓的"SittingDucks"攻击中劫持了35000多个注册域名,这些攻击允许在无法访问域名所有者在DNS提供商或注册商的帐户的情况下申请域名。FF9品论天涯网


FF9品论天涯网

在SittingDucks攻击中,网络犯罪分子利用注册商一级的配置缺陷和DNS提供商的所有权验证不足。FF9品论天涯网

以DNS为重点的安全厂商Infoblox以及固件和硬件保护公司Eclypsium的研究人员发现,通过SittingDucks攻击,每天有超过一百万个域名可能被劫持。FF9品论天涯网

多年来,多个俄罗斯网络犯罪团伙一直在使用这一攻击载体,并在垃圾邮件活动、诈骗、恶意软件交付、网络钓鱼和数据外渗中利用被劫持的域名。FF9品论天涯网

尽管Snap公司的安全工程师马修-布莱恩特(MatthewBryant)在2016年首次记录了使SittingDucks成为可能的问题[1,2],但与其他更知名的方法相比,该攻击向量仍然是一种更容易劫持域名的方法。FF9品论天涯网

要实现攻击,需要满足以下条件:FF9品论天涯网

-注册域名使用或委托注册商以外的供应商提供权威DNS服务FF9品论天涯网

-记录的权威名称服务器因缺乏域名信息而无法解析查询(跛脚授权)FF9品论天涯网

-DNS提供商需要允许在不适当验证所有权或要求访问所有者账户的情况下申请域名FF9品论天涯网

这种攻击的变种包括部分无效授权(并非所有名称服务器都配置错误)和重新授权给另一家DNS提供商。但是,如果满足蹩脚授权和可利用的提供商条件,域名就会被劫持。FF9品论天涯网


FF9品论天涯网

先决条件图FF9品论天涯网

Infoblox解释说,攻击者可以在使用不同于注册商的提供商(如网络托管服务)提供的权威DNS服务的域名上使用SittingDucks方法。FF9品论天涯网

如果目标域名的权威DNS或虚拟主机服务已过期,攻击者只需在DNS服务提供商处创建一个账户,就可以申请该域名。FF9品论天涯网

威胁者现在可以在该域名下建立一个恶意网站,并配置DNS设置,将IP地址记录请求解析到假地址;而合法所有者将无法修改DNS记录。FF9品论天涯网


FF9品论天涯网

Infoblox和Eclypsium报告称,自2018年和2019年以来,他们观察到多个威胁行为体利用"坐鸭"(或"现坐鸭"--DNS)攻击载体。FF9品论天涯网

从那时起,至少有35000起域名劫持案件使用了这种方法。通常情况下,网络犯罪分子持有域名的时间很短,但也有长达一年的情况。FF9品论天涯网

还发生过同一域名先后被多个威胁行为者劫持的情况,这些威胁行为者在其行动中使用该域名一到两个月,然后将其转移。FF9品论天涯网

GoDaddy已被确认为SittingDucks攻击的受害者,但研究人员称,目前还有六家DNS提供商存在漏洞。FF9品论天涯网

观察到的利用"坐地鸭"的活动集群概述如下:FF9品论天涯网

"垃圾熊"--2018年底劫持GoDaddy域名用于垃圾邮件活动。FF9品论天涯网

"VacantViper"--2019年12月开始使用SittingDucks,此后每年劫持2500次,用于分发IcedID的404TDS系统,并为恶意软件设置命令和控制(C2)域。FF9品论天涯网

VexTrioViper"--2020年初开始使用"SittingDucks",在大型流量分配系统(TDS)中使用域名,为SocGholish和ClearFake行动提供便利。FF9品论天涯网

未具名行为者-一些规模较小且未知的威胁行为者创建了TDS、垃圾邮件分发和网络钓鱼网络。FF9品论天涯网

域名所有者应定期检查其DNS配置是否存在防护不足的授权,尤其是较老的域名,并在注册商或权威名称服务器上更新授权记录,提供适当的、活跃的DNS服务。FF9品论天涯网

建议注册商主动检查包含弱电点的授权,并提醒所有者。他们还应确保在传播名称服务器授权之前已建立DNS服务。FF9品论天涯网

最终,监管机构和标准机构必须制定长期战略来解决DNS漏洞问题,并迫使其管辖范围内的DNS提供商采取更多措施来减少SittingDucks攻击。FF9品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]