2024.08.02 13:00

俄羅斯駭客針對名為「甕中捉鱉」(Sitting Ducks)的域名劫持技術進行攻擊,攻陷超過30,000個域名

ADVERTISEMENT

目前,有數十名與俄羅斯有關的犯罪分子試圖透過利用薄弱的DNS服務來奪取網域的控制權。

這些騙子自2019年以來已經劫持了大約30,000個網域,他們使用一種被網路安全公司Infoblox和Eclypsium稱為「甕中捉鱉」(Sitting Ducks)的技術。

此問題的核心漏洞至少從2016年就已為人所知,當時安全研究員Matt Bryant詳細介紹了利用AWS、Google和Digital Ocean等主要雲端供應商的DNS漏洞,劫持了12萬個網域的事件。2019年,這個漏洞在網路服務供應商GoDaddy再次出現,導致了炸彈威脅和性勒索企圖。

ADVERTISEMENT

Sitting Ducks仍然是奪取網域的可行途徑,這一事實證明了解決由粗劣業務流程而非程式碼錯誤所引起的漏洞有多麼困難。這種技術很難被發現或與憑證盜竊區分開來,對受害者來說非常具有破壞性。

Infoblox在一份報告中感嘆網域劫持的容易程度,並表示:「在首次被公開八年後,這個攻擊向量在很大程度上仍不為人知且未得到解決。」

「與其他廣為人知的網域劫持攻擊向量(例如dangling CNAME)相比,Sitting Ducks更容易執行,更容易成功,也更難被發現。同時,Sitting Ducks正被廣泛用於攻擊全球使用者。我們的分析顯示,Sitting Ducks的使用在幾年內持續增長,而且在安全行業中未被認識到。」

ADVERTISEMENT

根據Eclypsium的公告,要成功進行Sitting Ducks攻擊需要四個條件:

  1. 一個已註冊的網域,或者已註冊網域的子網域,使用了與網域註冊商不同的供應商提供的權威DNS服務;這種情況稱為名稱伺服器委派(name server delegation)。
  2. 一個網域在一個權威 DNS 供應商處註冊,但該網域或其子網域被設置為使用不同的 DNS 供應商來提供權威名稱服務。
  3. 名稱伺服器委派失效(lame delegation),意味著被委派的權威名稱伺服器沒有關於該網域的資訊,因此無法解析對該網域或其子網域的查詢。
  4. DNS 供應商存在可被利用的漏洞,這意味著攻擊者可以在被委派的權威 DNS 供應商處聲稱擁有該網域的所有權。

這種管理控制上的漏洞,允許犯罪分子在不驗證請求者身分的情況下新增或更改網域紀錄,這種情況相當普遍。根據 2020 年發表的一篇論文,在4900萬個被評估的網域中,約有 14% 受到某種形式的失效委派影響。

Infoblox 和 Eclypsium 的安全團隊表示,他們在六月發現了最新一輪的攻擊,並且從那時起就一直在與警方和國家電腦緊急應變小組(CERTs)協調,以處理造成的損害。

ADVERTISEMENT

Infoblox發出警告,Sitting Ducks漏洞不僅影響被入侵網域的擁有者,也影響在線上與這些網站互動的用戶。被劫持的網域已被用於網路釣魚、詐騙、垃圾郵件、色情內容散播,以及像Cobalt Strike等攻擊的命令和控制伺服器。

nfoblox 和 Eclypsium 認為,只要網域擁有者、網域註冊商和 DNS 提供商共同努力,就能夠減輕 DNS 設定錯誤所帶來的問題。他們也呼籲政府組織、監管機構和標準制定組織,共同探索能將 DNS 攻擊面最小化的長期解決方案。

Infoblox 認為,如果沒有各方合作和積極努力,「Sitting Ducks」攻擊將會持續增加。這種攻擊已經成為全球數十個國家網路犯罪的一部分,給消費者造成難以估計的金錢和隱私損失。

ADVERTISEMENT

ADVERTISEMENT