Новости DNS-атаки Sitting Ducks позволили захватить более 35 тыс. доменов

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.396
Репутация
11.800
Реакции
62.060
RUB
50
Киберпреступникам удалось получить контроль более чем над 35 тыс. зарегистрированных доменов, используя вектор DNS-атаки под названием «Sitting Ducks».


Суть заключается в эксплуатации ошибок конфигурации на уровне регистратора и недостаточной проверке владельца со стороны провайдера. На Sitting Ducks обратили внимание специалисты компаний Infoblox и Eclypsium. По их словам, в Сети удалось обнаружить более миллиона доменов, уязвимых перед этим вектором атаки.

Sitting-Ducks.jpg


Исследователи считают, что за эксплуатацией Sitting Ducks стоит «множество российских киберпреступных групп», которые используют взломанные домены для рассылки спама и в фишинговых кампаниях. Интересно, что Sitting Ducks описывался ещё в 2016 году Мэтью Брайантом из Snap.

Тем не менее вектор продолжает работать, однако для успешной атаки нужен ряд условий:

  • целевой домен должен использовать или делегировать службы DNS провайдеру, который при этом не является регистратором;
  • сервер имён не может разрешать запросы, поскольку ему не хватает информации о домене (некорректное делегирование);
  • DNS-провайдер должен разрешить заявку на домен без надлежащего подтверждения права собственности или требований доступа к аккаунту владельца.

1-risk.jpg


Как объясняют в Infoblox, атакующие могут задействовать Sitting Ducks для захвата доменов, использующих DNS-службы, например, от хостера. Для начала злоумышленнику надо будет создать учётную запись в системе DNS-провайдера, а потом заявить свои права на домен.

После этого киберпреступник создаёт вредоносный веб-сайт и настраивает параметры DNS таким образом, чтобы IP резолвился на поддельный адрес. У законного владельца при этом не будет возможности поменять DNS-записи.



 
Сверху Снизу