Dilling
Professional
- Messages
- 149
- Reaction score
- 138
- Points
- 43
Киберпреступники захватили более 35 000 зарегистрированных доменов, используя атаку, названную исследователями «Sitting Ducks». Этот метод позволяет злоумышленникам захватывать домены без доступа к учётной записи владельца у DNS-провайдера или регистратора.
В ходе атаки Sitting Ducks, киберпреступники эксплуатируют недостатки конфигурации на уровне регистратора и недостаточную проверку владения у DNS-провайдеров. Исследователи из компаний Infoblox и Eclypsium выявили, что ежедневно с помощью этой атаки может быть захвачено более миллиона доменов.
Многочисленные киберпреступные группы уже несколько лет используют данный метод для рассылки спама, мошенничества, доставки вредоносного ПО, фишинга и кражи данных. Проблема впервые была задокументирована в 2016 году Мэтью Брайантом, инженером по безопасности компании Snap.
Для успешного проведения атаки необходимо выполнение нескольких условий: домен должен использовать или делегировать DNS-услуги провайдеру, отличному от регистратора; авторитетный DNS-сервер не должен уметь разрешать запросы; DNS-провайдер должен позволять заявлять права на домен без проверки владения.
Если указанные условия выполняются, злоумышленники могут захватить домен. Вариации атаки включают частично неверную делегацию и перенаправление к другому DNS-провайдеру. В случае истечения срока действия DNS-услуг или веб-хостинга для целевого домена, атакующий может заявить права на домен, создав учётную запись у DNS-провайдера.
Infoblox и Eclypsium наблюдали многочисленные случаи эксплуатации Sitting Ducks с 2018 и 2019 годов. За это время было зафиксировано более 35 000 случаев захвата доменов этим способом. Обычно киберпреступники удерживали домены недолгое время, но в некоторых случаях домены оставались под контролем злоумышленников до года.
Известно о нескольких хакерских группах, использующих эту атаку:
Владельцам доменов рекомендуется регулярно проверять свои DNS-конфигурации на предмет неправильных делегаций, особенно для старых доменов. Регистраторы, в свою очередь, должны проводить проактивные проверки и уведомлять владельцев о проблемах. Регуляторы и стандартизирующие органы должны разработать долгосрочные стратегии для решения уязвимостей DNS и требовать от DNS-провайдеров активных действий по снижению риска атак типа Sitting Ducks.
Источник: https://www.securitylab.ru/news/550768.php
В ходе атаки Sitting Ducks, киберпреступники эксплуатируют недостатки конфигурации на уровне регистратора и недостаточную проверку владения у DNS-провайдеров. Исследователи из компаний Infoblox и Eclypsium выявили, что ежедневно с помощью этой атаки может быть захвачено более миллиона доменов.
Многочисленные киберпреступные группы уже несколько лет используют данный метод для рассылки спама, мошенничества, доставки вредоносного ПО, фишинга и кражи данных. Проблема впервые была задокументирована в 2016 году Мэтью Брайантом, инженером по безопасности компании Snap.
Для успешного проведения атаки необходимо выполнение нескольких условий: домен должен использовать или делегировать DNS-услуги провайдеру, отличному от регистратора; авторитетный DNS-сервер не должен уметь разрешать запросы; DNS-провайдер должен позволять заявлять права на домен без проверки владения.
Если указанные условия выполняются, злоумышленники могут захватить домен. Вариации атаки включают частично неверную делегацию и перенаправление к другому DNS-провайдеру. В случае истечения срока действия DNS-услуг или веб-хостинга для целевого домена, атакующий может заявить права на домен, создав учётную запись у DNS-провайдера.
Infoblox и Eclypsium наблюдали многочисленные случаи эксплуатации Sitting Ducks с 2018 и 2019 годов. За это время было зафиксировано более 35 000 случаев захвата доменов этим способом. Обычно киберпреступники удерживали домены недолгое время, но в некоторых случаях домены оставались под контролем злоумышленников до года.
Известно о нескольких хакерских группах, использующих эту атаку:
- «Spammy Bear» — захватывала домены GoDaddy в конце 2018 года для рассылки спама.
- «Vacant Viper» — с декабря 2019 года ежегодно захватывает около 2500 доменов для системы 404TDS, распространяющей IcedID и создающей C2-домены для вредоносного ПО.
- «VexTrio Viper» — с начала 2020 года использует домены для системы массового распределения трафика, способствующей операциям SocGholish и ClearFake.
Владельцам доменов рекомендуется регулярно проверять свои DNS-конфигурации на предмет неправильных делегаций, особенно для старых доменов. Регистраторы, в свою очередь, должны проводить проактивные проверки и уведомлять владельцев о проблемах. Регуляторы и стандартизирующие органы должны разработать долгосрочные стратегии для решения уязвимостей DNS и требовать от DNS-провайдеров активных действий по снижению риска атак типа Sitting Ducks.
Источник: https://www.securitylab.ru/news/550768.php
