Bir milyondan fazla alan adı, kötü niyetli aktörler tarafından ele geçirilmeye karşı savunmasızdır. Oturan ördekler saldırı.
Infoblox ve Eclypsium tarafından yayımlanan ortak bir analiz, alan adı sistemindeki (DNS) zayıflıkları istismar eden güçlü saldırı vektörünün, bir düzineden fazla Rus bağlantılı siber suçlu tarafından gizlice alan adlarını ele geçirmek için kullanıldığını ortaya koydu.
Araştırmacılar, “Sikişen Ördek saldırısında, saldırgan yetkili bir DNS servisinde veya web barındırma sağlayıcısında kayıtlı bir alan adını, DNS sağlayıcısındaki veya kayıt kuruluşundaki gerçek sahibinin hesabına erişmeden ele geçiriyor” dedi.
“Sitting Ducks, diğer iyi duyurulmuş alan adı ele geçirme saldırı vektörlerinden (örneğin sarkan CNAME’ler) daha kolay gerçekleştirilebilir, başarılı olma olasılığı daha yüksek ve tespit edilmesi daha zordur.”
Bir alan adı tehdit aktörü tarafından ele geçirildiğinde, kötü amaçlı yazılım sunmak ve spam göndermek gibi her türlü kötü niyetli faaliyet için kullanılabilir ve meşru sahibine duyulan güven suistimal edilebilir.
“Zararlı” saldırı tekniğinin ayrıntıları ilk olarak 2016’da The Hacker Blog tarafından belgelendi, ancak bugüne kadar büyük ölçüde bilinmiyor ve çözülemedi. 2018’den bu yana 35.000’den fazla alan adının ele geçirildiği tahmin ediliyor.
Infoblox’ta tehdit istihbaratı başkan yardımcısı olan Dr. Renee Burton, The Hacker News’e “Bu bizim için bir gizem,” dedi. “Potansiyel müşterilerimizden, örneğin, unutulmuş kayıtların ele geçirilmesi olan sarkan CNAME saldırıları hakkında sık sık sorular alıyoruz, ancak Sitting Ducks ele geçirilmesi hakkında hiçbir zaman bir soru almadık.”
Sorun, alan adı kayıt kuruluşundaki ve yetkili DNS sağlayıcısındaki yanlış yapılandırma ve buna ek olarak ad sunucusunun hizmet vermek üzere listelendiği bir alan adına yetkili olarak yanıt verememesi (yani yetersiz yetki devri) gerçeğidir.
Ayrıca yetkili DNS sağlayıcısının istismar edilebilir olması gerekir; bu da saldırganın, alan adı kayıt kuruluşundaki geçerli sahibinin hesabına erişemeden, devredilen yetkili DNS sağlayıcısında alan adının mülkiyetini iddia etmesine olanak tanır.
Böyle bir senaryoda, alan adına ait yetkili DNS hizmetinin süresi dolarsa, tehdit aktörü sağlayıcıda bir hesap oluşturabilir ve alan adının mülkiyetini talep edebilir, en sonunda kötü amaçlı yazılım dağıtmak için alan adının arkasındaki markayı taklit edebilir.
“Birçok varyasyon var [of Sitting Ducks]Burton, “Buna, bir alan adı kayıtlı olduğunda, devredildiğinde ancak sağlayıcı tarafından yapılandırılmadığında da dahildir” dedi.
Sitting Ducks saldırısı farklı tehdit aktörleri tarafından silahlandırıldı ve çalınan alan adları 404 TDS (diğer adıyla Vacant Viper) ve VexTrio Viper gibi çoklu trafik dağıtım sistemlerini (TDS’ler) beslemek için kullanıldı. Ayrıca bomba tehdidi aldatmacalarını ve cinsel şantaj dolandırıcılıklarını yaymak için de kullanıldı.
Burton, “Kuruluşlar, sahip oldukları alan adlarını kontrol ederek herhangi birinin kötü olup olmadığını kontrol etmeli ve Sitting Ducks’a karşı koruma sağlayan DNS sağlayıcılarını kullanmalılar” dedi.