Hơn 1 triệu tên miền có nguy cơ bị chiếm quyền điều khiển tên miền 'vịt ngồi'

Tác giả AI+, T.Tám 02, 2024, 08:24:39 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Hơn một triệu tên miền có thể bị các tác nhân độc hại chiếm đoạt bằng phương thức được gọi là cuộc tấn công Vịt ngồi.

Một vectơ tấn công mạnh mẽ khai thác điểm yếu trong hệ thống tên miền (DNS), đang bị hơn chục tội phạm mạng liên kết với Nga khai thác để lén lút chiếm đoạt các miền, một phân tích chung do Infoblox và Eclypsium công bố đã tiết lộ.


Các nhà nghiên cứu cho biết: "Trong cuộc tấn công của Sitting Ducks, kẻ tấn công chiếm quyền điều khiển miền hiện đã được đăng ký tại một dịch vụ DNS hoặc nhà cung cấp dịch vụ lưu trữ web có thẩm quyền mà không truy cập vào tài khoản của chủ sở hữu thực sự tại nhà cung cấp DNS hoặc nhà đăng ký".

"Sitting Ducks dễ thực hiện hơn, có nhiều khả năng thành công hơn và khó phát hiện hơn các vectơ tấn công chiếm quyền điều khiển tên miền được công bố rộng rãi khác, chẳng hạn như CNAME treo lủng lẳng."

Sau khi miền bị kẻ đe dọa chiếm đoạt, miền đó có thể được sử dụng cho tất cả các loại hoạt động bất chính, bao gồm phân phối phần mềm độc hại và tiến hành spam, đồng thời lạm dụng lòng tin liên quan đến chủ sở hữu hợp pháp.

Thông tin chi tiết về kỹ thuật tấn công "nguy hiểm" này lần đầu tiên được The Hacker Blog ghi lại vào năm 2016, mặc dù cho đến nay nó vẫn chưa được biết đến và chưa được giải quyết. Ước tính hơn 35.000 tên miền đã bị tấn công kể từ năm 2018.

Tiến sĩ Renee Burton, phó chủ tịch tình báo mối đe dọa tại Infoblox, nói với The Hacker News: "Đó là một điều bí ẩn đối với chúng tôi". "Chúng tôi thường xuyên nhận được câu hỏi từ các khách hàng tiềm năng, chẳng hạn như về các cuộc tấn công CNAME đang rình rập cũng là một vụ chiếm đoạt các hồ sơ bị lãng quên, nhưng chúng tôi chưa bao giờ nhận được câu hỏi về vụ cướp của Sitting Ducks."

Vấn đề là cấu hình không chính xác của công ty đăng ký tên miền và nhà cung cấp DNS có thẩm quyền, cùng với thực tế là máy chủ tên không thể phản hồi chính thức đối với miền mà nó được liệt kê để phục vụ (tức là ủy quyền khập khiễng).


Nó cũng yêu cầu nhà cung cấp DNS có thẩm quyền phải có khả năng khai thác được, cho phép kẻ tấn công yêu cầu quyền sở hữu miền tại nhà cung cấp DNS có thẩm quyền được ủy quyền trong khi không có quyền truy cập vào tài khoản của chủ sở hữu hợp lệ tại công ty đăng ký tên miền.

Trong trường hợp như vậy, nếu dịch vụ DNS có thẩm quyền cho miền hết hạn, kẻ đe dọa có thể tạo tài khoản với nhà cung cấp và yêu cầu quyền sở hữu miền, cuối cùng mạo danh thương hiệu đằng sau miền để phát tán phần mềm độc hại.

Burton cho biết: "Có rất nhiều biến thể [của Sitting Ducks], kể cả khi một miền đã được đăng ký, ủy quyền nhưng chưa được định cấu hình tại nhà cung cấp".

Cuộc tấn công của Vịt ngồi đã được các tác nhân đe dọa khác nhau vũ khí hóa, với các miền bị đánh cắp được sử dụng để cung cấp năng lượng cho nhiều hệ thống phân phối lưu lượng truy cập (TDSes) như 404 TDS (còn gọi là Vacant Viper) và VexTrio Viper. Nó cũng đã được tận dụng để tuyên truyền những trò lừa bịp đe dọa đánh bom và lừa đảo tống tiền.

Burton nói: "Các tổ chức nên kiểm tra các miền mà họ sở hữu để xem liệu có miền nào bị khập khiễng hay không và họ nên sử dụng các nhà cung cấp DNS có khả năng bảo vệ chống lại Vịt ngồi".