Κακόβουλοι παράγοντες έχουν κλέψει περισσότερους από 35.000 καταχωρισμένους τομείς στις λεγόμενες επιθέσεις Sitting Ducks, που επιτρέπουν την διεκδίκηση ενός τομέα χωρίς πρόσβαση στον λογαριασμό του κατόχου, στον πάροχο DNS ή στο μητρώο καταχώρισης.
Δείτε επίσης: Σφάλμα VMware ESXi χρησιμοποιείται σε επιθέσεις ransomware
Σε μια επίθεση Sitting Ducks, οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται ελλείψεις διαμόρφωσης σε επίπεδο μητρώου και ανεπαρκή επαλήθευση ιδιοκτησίας σε παρόχους DNS.
Ερευνητές της Infoblox που εστιάζει στο DNS και της εταιρείας προστασίας υλικολογισμικού και υλικού Eclypsium ανακάλυψαν ότι υπάρχουν περισσότεροι από ένα εκατομμύριο τομείς που μπορεί να παραβιάζονται καθημερινά μέσω των επιθέσεων Sitting Ducks.
Πολλές ρωσικές ομάδες εγκληματιών στον κυβερνοχώρο χρησιμοποιούν αυτό το διάνυσμα επίθεσης εδώ και χρόνια και αξιοποιούν τους τομείς που έχουν παραβιαστεί σε εκστρατείες ανεπιθύμητης αλληλογραφίας, απάτες, παράδοση κακόβουλου λογισμικού, ηλεκτρονικού phishing και εξαγωγήw δεδομένων.
Αν και οι προϋποθέσεις που κάνουν το Sitting Ducks δυνατό τεκμηριώθηκαν για πρώτη φορά το 2016 από τον Matthew Bryant, μηχανικό ασφαλείας στο Snap, το διάνυσμα επίθεσης εξακολουθεί να είναι ένας ευκολότερος τρόπος για να παραβιαστούν τομείς από άλλες πιο γνωστές μεθόδους.
Δείτε ακόμα: Το νέο εργαλείο Specula χρησιμοποιεί το Outlook για επιθέσεις RCE
Για να είναι δυνατή η επίθεση, απαιτούνται οι ακόλουθες προϋποθέσεις:
- ο καταχωρημένος τομέας είτε χρησιμοποιεί είτε εκχωρεί έγκυρες υπηρεσίες DNS σε πάροχο διαφορετικό από τον καταχωρητή
- ο έγκυρος διακομιστής ονομάτων της εγγραφής δεν μπορεί να επιλύσει ερωτήματα επειδή δεν διαθέτει πληροφορίες σχετικά με τον τομέα (χώρος αντιπροσωπείας)
- ο πάροχος DNS πρέπει να επιτρέπει την αξίωση ενός τομέα χωρίς να επαληθεύεται σωστά η ιδιοκτησία ή να απαιτείται πρόσβαση στον λογαριασμό του κατόχου
Οι παραλλαγές της επίθεσης Sitting Ducks περιλαμβάνουν partially lame delegation (δεν έχουν ρυθμιστεί όλοι οι διακομιστές ονομάτων εσφαλμένα) και εκ νέου ανάθεση σε άλλο πάροχο DNS. Ωστόσο, εάν πληρούνται οι όροι αδρανούς ανάθεσης και εκμεταλλεύσιμου παρόχου, ο τομέας μπορεί να παραβιαστεί.
Η Infoblox εξηγεί ότι οι εισβολείς μπορούν να χρησιμοποιήσουν τη μέθοδο Sitting Ducks σε τομείς που χρησιμοποιούν έγκυρες υπηρεσίες DNS από έναν πάροχο που είναι διαφορετικός από τον καταχωρητή, όπως μια υπηρεσία φιλοξενίας Ιστού. Εάν το έγκυρο DNS ή η υπηρεσία φιλοξενίας Ιστού για τον τομέα-στόχο λήξει, ένας εισβολέας μπορεί απλώς να το διεκδικήσει αφού δημιουργήσει έναν λογαριασμό στον πάροχο υπηρεσιών DNS.
Ο παράγοντας απειλών μπορεί τώρα να δημιουργήσει έναν κακόβουλο ιστότοπο στον τομέα και να διαμορφώσει τις ρυθμίσεις DNS για την επίλυση αιτημάτων εγγραφής διευθύνσεων IP στην ψεύτικη διεύθυνση. Και ο νόμιμος κάτοχος δεν θα μπορεί να τροποποιήσει τις εγγραφές DNS.
Δείτε επίσης: CrowdStrike: Phishing επιθέσεις στοχεύουν Γερμανούς πελάτες
Οι επιθέσεις DNS, όπως οι Sitting Ducks, αναφέρονται σε διάφορες κακόβουλες ενέργειες που στοχεύουν το Σύστημα Ονομάτων Τομέα (DNS), το οποίο είναι υπεύθυνο για την αντιστοίχιση ονομάτων τομέα σε διευθύνσεις IP. Αυτές οι επιθέσεις μπορεί να περιλαμβάνουν DNS spoofing, όπου ένας επιτιθέμενος παραπλανεί τους χρήστες να επισκεφτούν κακόβουλες ιστοσελίδες, ή DDoS επιθέσεις που κατακλύζουν τους DNS διακομιστές με κίνηση, καθιστώντας τους μη διαθέσιμους. Η προστασία από αυτές τις επιθέσεις είναι κρίσιμη για τη διασφάλιση της σταθερότητας και της ασφάλειας του διαδικτύου, απαιτώντας αποτελεσματικά μέτρα ασφάλειας και την εκπαίδευση των χρηστών για την αναγνώριση επικίνδυνων προειδοποιήσεων.
Πηγή: bleepingcomputer
