駭客利用甕中捉鱉技術劫持了超過35,000個網域

十多個俄羅斯關聯的駭客組織正在運用Sitting Ducks攻擊

 Photo Credit: US Cybersecurity

網路攻擊者利用所謂的Sitting Ducks (甕中捉鱉) 劫持了超過 35,000 個已註冊網域,在Sitting Ducks攻擊中,攻擊者劫持了已在DNS (網域名稱系統) 服務商或web hosting provider (網頁代管供應商) 那邊註冊的域名,讓使用者無法連結到在DNS提供單位或註冊單位的真正帳戶。

在「甕中捉鱉」攻擊中,網路犯罪分子利用註冊單位網路層級的組態 (configuration)缺陷以及 DNS 提供單位的所有權驗證機制不足。

專門致力於 DNS 的網路安全供應商 Infoblox 以及韌體和硬體防護公司 Eclypsium 的研究人員發現,每天可能會有超過一百萬個網域透過 Sitting Ducks 攻擊的手法而遭到劫持。

InfobloxEclypsium聯合發佈的分析中揭露,有十多個與俄羅斯有關聯的網路犯罪組織正在運用這種攻擊手段,特別針對網域名稱系統 (DNS) 的弱點藉以隱密地劫持網域。

追根究柢,問題在於網域註冊單位和授予權限的 DNS 提供單位的組態 (configuration) 不正確,再加上名稱伺服器 (name server) 無法對其涵蓋的服務網域進行授權回應(這也稱作 lame delegation遜咖授權)。

攻擊者先向授權的 DNS 提供單位要求使用權,允許它在授權的 DNS 提供單位之處聲明網域的所有權,於此同時它並不用直接去存取網域名稱註冊單位的真正使用者者帳戶。

在這種情況之下,如果網域的授權 DNS 服務到期過後,攻擊者可以在DNS提供單位處建立帳戶並聲稱擁有​​該網域,最後假冒網域代表的品牌來進行散播惡意軟體的攻擊行動。

近年來,Sitting Ducks 攻擊已被許多不同的網路攻擊團體所採用,遭到盜取的網域用來支援多個流量分配系統 (TDSes) ,像是404 TDS(又稱作 Vacant Viper)和VexTrio Viper。同時它也被用來​​散播炸彈威脅騙局 (bomb threat hoaxes)和性勒索詐騙 (sextortion scams)。

Infoblox 威脅情報副總裁 Renee Burton 博士說:「企業組織應該定期檢查他們擁有的網域,確認是否仍有弱點或是漏洞,並且他們應該要選擇能夠有效防衛Sitting Ducks攻擊的DNS供應商」。

防衛重點

網域擁有者應定期檢查其DNS組態 (configurations) 是否屬於lame delegations (委派失效),特別是在比較舊的網域上,並使用適當的 DNS 服務商來更新註冊單位或授權的名稱伺服器上的授權記錄。

建議註冊單位對委派失效的案例和告警通知人員進行主動檢查。另外他們還需確保在授予名稱伺服器授權之前,DNS服務已確立。

最後,註冊監管機構和標準管理機構必須制定長期策略來根本解決 DNS 漏洞,並驅使其管轄範圍內的 DNS 供應商採取更多有效行動來緩解坐鴨攻擊。

竣盟科技 提醒網域名稱及企業網路用戶,採取多種最佳防護措施及解決方案可以有效幫助降低遭受網路攻擊的風險:

  1. 定期更新軟體:定期更新應用程式可確保修補任何已知漏洞,從而更好地防止潛在的漏洞。
  2. 對未經請求的訊息持懷疑態度:使用者應警惕未經請求的訊息,尤其是那些要求提供個人資訊或敦促他們立即採取行動的訊息。
  3. 驗證真實性:如果訊息聲稱來自 Authy 或 Twilio 等合法服務,使用者應在採取任何操作之前透過官方管道驗證其真實性。
  4. 啟用額外的安全措施:在可能的情況下,啟用額外的安全功能(例如生物辨識身分驗證或基於硬體的雙重認證)可以提供額外的保護層。
  5. 自學網路釣魚策略:了解常見的網路釣魚策略以及如何識別它們可以顯著降低陷入此類計劃的可能性。