近期,Infoblox和Eclypsium的网络安全研究人员,在域名系统(DNS)中发现了复杂的攻击媒介“Sitting Ducks”。Infoblox公司在报告中透露,自2018年以来,Sitting Ducks劫持超过35,000个域名,存在超过100万个易受攻击的目标域。这次攻击是在研究俄罗斯托管的404TDS(一个流量分配系统)基础设施时发现的,系俄罗斯网络犯罪分子参与其中。攻击者在伪装下执行恶意活动,包括恶意软件交付、网络钓鱼活动、品牌模仿和数据泄露等。“Sitting Ducks”攻击与其他控制域名的技术不同,因为它不需要注册商的访问权限,攻击者只需要利用所谓的”无效委托”(lame delegation)即可。
Sitting Ducks flow (Infoblox)无效委托发生在注册的域名或子域名将权威DNS服务委托给不同于域名注册商的其他提供商时,如果权威名称服务器缺少域名信息并且无法解析查询,这种委托就被称为无效的。当恶意行为者注册了被分配的域名,获得指向该域名的所有域名的访问权限时,就会发生无效委托攻击。此外,攻击者通过利用DNS提供商的漏洞,扫描互联网上具有无效委托的域名,未经授权就声称拥有所有权。他们把劫持的域名创建恶意记录,将流量定向到恶意服务器,并将用户定向到攻击者的网站。根据Eclypsium博客文章所述,“Sitting Ducks”现象有多种变体。它能够利用域名所有者在域名服务器信息中的拼写错误,从而使得攻击者能够注册部分无效域名。Dangling DNS记录,由于配置被遗忘而包含无效信息,可以推广到其他类型的DNS记录。Dangling CNAME攻击将DNS响应重定向到失效的域名,从而允许恶意行为者注册失效的域名并获得血统。经过对十几个DNS提供商域名授权的分析,结果显示,参与者中最显著的是俄罗斯的网络犯罪分子。
利用这种攻击,每天有数百个域名被劫持,这些域名通常是通过所谓的“品牌保护注册商”注册的,或者是注册了外观相似的域名。
媒体呼吁,为了避免Sitting Ducks攻击,域名所有者应该使用独立于其域名注册商的权威DNS提供商。确保域名和子域将名称服务器委托给有效的服务提供商,并询问DNS提供商缓解措施以降低风险。
转自E安全,原文链接:https://mp.weixin.qq.com/s/QDInVB-9JghzoCeyLIEXSA
暂无评论内容