Preko milion domena je podložno preuzimanju od strane zlonamjernih hakera pomoću onoga što se naziva napadom Sitting Ducks .
Moćni vektor napada, koji iskorištava slabosti u sistemu imena domena (DNS), iskorištava više od desetak hakera cyber kriminala u ruskom nexus-u za krađu otmicu domena, pokazala je zajednička analiza koju su objavili Infoblox i Eclypsium .
“U napadu Sitting Ducks, glumac otima trenutno registrovanu domenu kod autoritativnog DNS servisa ili web hosting provajdera bez pristupa nalogu pravog vlasnika bilo kod DNS provajdera ili registratora”, rekli su istraživači.
“Sitting Ducks je lakši za izvođenje, vjerojatnije je da će uspjeti i teže ga je otkriti od drugih dobro razglašenih vektora napada otmice domena, kao što su viseći CNAME-ovi .”
Nakon što je pretnja preuzeo domenu, mogla bi se koristiti za sve vrste opasnih aktivnosti, uključujući posluživanje zlonamjernog softvera i provođenje neželjene pošte, uz zloupotrebu povjerenja povezanog s legitimnim vlasnikom.
Detalje o tehnici “pogubnog” napada prvi je dokumentirao The Hacker Blog 2016. godine, iako je ona do danas uglavnom nepoznata i neriješena. Procjenjuje se da je više od 35.000 domena oteto od 2018.
„To je misterija za nas“, rekla je dr. Renee Burton, potpredsjednica obavještajne službe za prijetnje u Infobloxu, za The Hacker News. “Često dobijamo pitanja od potencijalnih klijenata, na primjer, o visećim CNAME napadima koji su takođe otmica zaboravljenih zapisa, ali nikada nismo dobili pitanje o otmici Sitting Ducks-a.”
U pitanju je pogrešna konfiguracija kod registratora domena i neadekvatna verifikacija vlasništva kod autoritativnog DNS provajdera, zajedno sa činjenicom da server imena nije u mogućnosti da odgovori autoritativno za domen koji je naveden da opslužuje (tj. labavo delegiranje ).
Takođe zahtjeva da autoritativni DNS provajder može da se iskoristi, što dozvoljava napadaču da zatraži vlasništvo nad domenom kod delegiranog autoritativnog DNS provajdera, a da nema pristup nalogu važećeg vlasnika kod registratora domena.
U takvom scenariju, ako autoritativni DNS servis za domenu istekne, haker bi mogao kreirati nalog kod provajdera i zatražiti vlasništvo nad domenom, na kraju lažno predstavljajući brend iza domene kako bi distribuirao zlonamjerni softver.
„Postoje mnoge varijacije [Sitting Ducks], uključujući slučajeve kada je domen registrovan, delegiran, ali nije konfigurisan kod provajdera“, rekao je Burton.
Napad Sedećih pataka je bio naoružan od strane različitih hakera tokom godina, pri čemu su ukradeni domeni korišćeni za napajanje višestrukih sistema za distribuciju saobraćaja (TDS) kao što su 404 TDS (aka Vacant Viper) i VexTrio Viper . Također je korišten za propagiranje obmana o prijetnjama bombama i prijevare sa sekserstvom, grupe aktivnosti praćene kao Spammy Bear.
“Organizacije bi trebale provjeriti domene koje posjeduju kako bi vidjeli da li neki nedostaju i trebaju koristiti DNS provajdere koji imaju zaštitu od Sitting Ducks”, rekao je Burton.
Izvor:The Hacker News
