Los actores de amenazas han secuestrado más de 35.000 dominios registrados en los llamados ataques Sitting Ducks que permiten reclamar un dominio sin tener acceso a la cuenta del propietario en el proveedor de DNS o registrador.
En un ataque Sitting Ducks, los cibercriminales explotan las deficiencias de configuración a nivel del registrador y la verificación de propiedad insuficiente en los proveedores de DNS.
Los investigadores del proveedor de seguridad centrado en DNS Infoblox y de la empresa de protección de firmware y hardware Eclypsium descubrieron que hay más de un millón de dominios que pueden ser secuestrados cada día a través de los ataques Sitting Ducks.
Varios grupos cibercriminales rusos han estado utilizando este vector de ataque durante años y han aprovechado los dominios secuestrados en campañas de spam, estafas, distribución de malware, phishing y exfiltración de datos.
Detalles de los patos sentados
Aunque los problemas que hacen posible Sitting Ducks fueron documentados por primera vez en 2016 [ 1 , 2 ] por Matthew Bryant , un ingeniero de seguridad de Snap, el vector de ataque continúa siendo una forma más fácil de secuestrar dominios que otros métodos más conocidos.
Para que el ataque sea posible se requieren las siguientes condiciones:
- el dominio registrado utiliza o delega servicios DNS autorizados a un proveedor distinto del registrador
- el servidor de nombres autorizado del registro no puede resolver consultas porque carece de información sobre el dominio (delegación deficiente)
- el proveedor de DNS debe permitir reclamar un dominio sin verificar adecuadamente la propiedad o requerir acceso a la cuenta del propietario
Las variantes del ataque incluyen la delegación parcialmente lame (no todos los servidores de nombres están configurados incorrectamente) y la redelegación a otro proveedor de DNS. Sin embargo, si se cumplen las condiciones de la delegación lame y del proveedor explotable, el dominio puede ser secuestrado.
Fuente: Infoblox
Infoblox explica que los atacantes pueden utilizar el método Sitting Ducks en dominios que utilizan servicios DNS autorizados de un proveedor diferente del registrador, como un servicio de alojamiento web.
Si el DNS autorizado o el servicio de alojamiento web para el dominio de destino expira, un atacante puede simplemente reclamarlo después de crear una cuenta con el proveedor de servicios DNS.
El actor de amenazas ahora puede configurar un sitio web malicioso bajo el dominio y configurar los ajustes DNS para resolver las solicitudes de registros de direcciones IP a la dirección falsa; y el propietario legítimo no podrá modificar los registros DNS.
Fuente: Infoblox
Ataques en la naturaleza
Infoblox y Eclypsium informan que han observado que varios actores de amenazas explotan el vector de ataque Sitting Ducks (o Ducks Now Sitting - DNS) desde 2018 y 2019.
Desde entonces, se han producido al menos 35.000 casos de secuestro de dominios mediante este método. Normalmente, los cibercriminales conservaban los dominios durante un breve periodo, pero hubo algunos casos en los que los conservaron hasta un año.
También ha habido casos en los que el mismo dominio fue secuestrado sucesivamente por múltiples actores de amenazas, que lo utilizaron en sus operaciones durante uno o dos meses y luego lo transmitieron.
Se confirma que GoDaddy es víctima de los ataques Sitting Ducks, pero los investigadores dicen que hay seis proveedores de DNS que actualmente son vulnerables.
Los grupos de actividad observados que aprovechan los patos sentados se resumen de la siguiente manera:
- " Spammy Bear ": dominios de GoDaddy secuestrados a finales de 2018 para usarlos en campañas de spam.
- " Vacant Viper ": comenzó a utilizar Sitting Ducks en diciembre de 2019 y desde entonces secuestra 2500 al año; se utiliza en el sistema 404TDS que distribuye IcedID y configura dominios de comando y control (C2) para malware.
- " VexTrio Viper ": comenzó a utilizar Sitting Ducks a principios de 2020 para utilizar los dominios en un sistema de distribución de tráfico masivo (TDS) que facilita las operaciones SocGholish y ClearFake.
- Actores sin nombre : varios actores de amenazas más pequeños y desconocidos que crean redes de TDS, distribución de spam y phishing.
Consejos de defensa
Los propietarios de dominios deben revisar periódicamente sus configuraciones de DNS para detectar delegaciones defectuosas, especialmente en dominios más antiguos, y actualizar los registros de delegación en el registrador o servidor de nombres autorizado con servicios de DNS activos y adecuados.
Se recomienda a los registradores que realicen comprobaciones proactivas de delegaciones inactivas y alerten a los propietarios. También deben asegurarse de que se establezca un servicio DNS antes de propagar delegaciones de servidores de nombres.
En última instancia, los reguladores y los organismos de normalización deben desarrollar estrategias a largo plazo para abordar las vulnerabilidades del DNS y presionar a los proveedores de DNS bajo sus jurisdicciones para que tomen más medidas para mitigar los ataques de Sitting Ducks.
Fuente: bleepingcomputer.com
No hay comentarios.:
Publicar un comentario