Agentes de ameaças sequestraram mais de 35.000 domínios registrados em ataques conhecidos como Sitting Ducks, que permitem reivindicar um domínio sem ter acesso à conta do proprietário no provedor DNS ou no registrador.
Em um ataque Sitting Ducks, cibercriminosos exploram lacunas de configuração no nível do registrador e verificação de propriedade insuficiente nos provedores de DNS.
Pesquisadores no fornecedor de segurança focado em DNS, Infoblox, e na empresa de proteção de firmware e hardware, Eclypsium, descobriram que há mais de um milhão de domínios que podem ser sequestrados todos os dias através dos ataques Sitting Ducks.
Vários grupos de cibercriminosos russos têm utilizado essa vetor de ataque há anos e aproveitado os domínios sequestrados em campanhas de spam, golpes, entrega de malware, phishing e exfiltração de dados.
Embora os problemas que tornam os Sitting Ducks possíveis tenham sido documentados pela primeira vez em 2016 [1, 2] por Matthew Bryant, um engenheiro de segurança na Snap, o vetor de ataque continua sendo uma maneira mais fácil de sequestrar domínios do que outros métodos mais conhecidos.
Para que o ataque seja possível, são necessárias as seguintes condições:
- domínio registrado ou usa ou delega serviços de DNS autoritativos a um provedor diferente do registrador
- o servidor de nome autoritativo do registro não pode resolver consultas porque lhe falta informações sobre o domínio (delegação ineficaz)
- o provedor de DNS precisa permitir reivindicar um domínio sem verificar adequadamente a propriedade ou exigir acesso à conta do proprietário
Variações do ataque incluem delegação parcialmente ineficaz (nem todos os servidores de nome estão configurados incorretamente) e redelegação a outro provedor de DNS.
No entanto, se as condições de delegação ineficaz e provedor explorável forem atendidas, o domínio pode ser sequestrado.
A Infoblox explica que os agressores podem usar o método Sitting Ducks em domínios que usam serviços DNS autoritativos de um provedor que é diferente do registrador, como um serviço de hospedagem web.
Se o serviço de DNS autoritativo ou de hospedagem web para o domínio alvo expirar, um agressor pode simplesmente reivindicá-lo após criar uma conta com o provedor de serviço de DNS.
O agente de ameaça pode agora configurar um website malicioso sob o domínio e configurar as definições de DNS para resolver solicitações de registro de endereço IP para o endereço falso; e o proprietário legítimo não conseguirá modificar os registros de DNS.
A Infoblox e a Eclypsium relatam que observaram vários agressores explorando o vetor de ataque Sitting Ducks (ou Ducks Now Sitting - DNS) desde 2018 e 2019.
Desde então, houve pelo menos 35.000 casos de sequestro de domínio usando este método.
Normalmente, os cibercriminosos mantiveram os domínios por um curto período, mas houve alguns casos em que os mantiveram por até um ano.
Também ocorreram casos em que o mesmo domínio foi sequestrado sucessivamente por vários agressores, que o usaram em suas operações por um a dois meses e depois o passaram adiante.
A GoDaddy é confirmada como vítima de ataques Sitting Ducks, mas os pesquisadores dizem que existem seis provedores de DNS que atualmente são vulneráveis.
Os aglomerados de atividade observados explorando Sitting Ducks são resumidos da seguinte forma:
"Spammy Bear" – Sequestrou domínios GoDaddy no final de 2018 para uso em campanhas de spam.
"Vacant Viper" – Começou a usar Sitting Ducks em dezembro de 2019 e desde então sequestra 2.500 anualmente, usados no sistema 404TDS que distribui IcedID, e configurando domínios de comando e controle (C2) para malware.
"VexTrio Viper" – Começou a usar Sitting Ducks no início de 2020 para utilizar os domínios em um massivo sistema de distribuição de tráfego (TDS) que facilita as operações SocGholish e ClearFake.
Atores não nomeados – Vários agressores menores e desconhecidos criando TDS, distribuição de spam e redes de phishing.
Os proprietários de domínios devem revisar regularmente suas configurações de DNS para delegações ineficazes, especialmente em domínios mais antigos, e atualizar os registros de delegação no registrador ou servidor de nome autoritativo com serviços de DNS ativos e adequados.
Os registradores são aconselhados a realizar verificações proativas para delegações ineficazes e alertar os proprietários.
Eles também devem garantir que um serviço de DNS esteja estabelecido antes de propagar delegações de servidores de nome.
Por fim, reguladores e órgãos normativos devem desenvolver estratégias de longo prazo para abordar vulnerabilidades de DNS e pressionar os provedores de DNS sob suas jurisdições a tomar mais ações para mitigar ataques Sitting Ducks.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...