أكثر من مليون نطاق معرض لخطر تقنية اختطاف النطاقات “Sitting Ducks”.
أكثر من مليون نطاق معرضة للاستيلاء عليها من قبل الجهات الخبيثة عن طريق ما يسمى ب بط جالس هجوم.
يتم استغلال ناقل الهجوم القوي، الذي يستغل نقاط الضعف في نظام أسماء النطاقات (DNS)، من قبل أكثر من عشرة جهات فاعلة من مجرمي الإنترنت الروس لاختطاف النطاقات خلسة، وهو تحليل مشترك نشره معلومات و كسوف كشف.
“في هجوم Sitting Ducks، يقوم الممثل باختطاف نطاق مسجل حاليًا في خدمة DNS موثوقة أو مزود استضافة الويب دون الوصول إلى حساب المالك الحقيقي على أي من مزود DNS وقال الباحثون “أو المسجل”.
“إن أداء Sitting Ducks أسهل في الأداء، وأكثر احتمالية للنجاح، وأصعب في اكتشافه من نواقل هجمات اختطاف النطاق الأخرى المشهورة، مثل أسماء CNAME المتدلية.”
بمجرد استحواذ جهة التهديد على النطاق، يمكن استخدامه لجميع أنواع الأنشطة الشائنة، بما في ذلك تقديم البرامج الضارة وإجراء رسائل غير مرغوب فيها، مع إساءة استخدام الثقة المرتبطة بالمالك الشرعي.
وكانت تفاصيل تقنية الهجوم “الخبيثة”. أولاً موثقة بواسطة The Hacker Blog في عام 2016، على الرغم من أنها لا تزال مجهولة إلى حد كبير ولم يتم حلها حتى الآن. وتشير التقديرات إلى أن أكثر من 35000 نطاق قد تم اختطافها منذ عام 2018.
وقال الدكتور رينيه بيرتون، نائب رئيس استخبارات التهديدات في Infoblox، لصحيفة The Hacker News: “إنه لغز بالنسبة لنا”. “نتلقى بشكل متكرر أسئلة من العملاء المحتملين، على سبيل المثال، حول هجمات CNAME المتدلية والتي تعد أيضًا بمثابة اختطاف للسجلات المنسية، لكننا لم نتلق أبدًا سؤالًا حول اختطاف Sitting Ducks.”
تكمن المشكلة في التكوين غير الصحيح لدى مسجل النطاق وموفر DNS المعتمد، بالإضافة إلى حقيقة أن خادم الأسماء غير قادر على الاستجابة بشكل رسمي للمجال الذي تم إدراجه لخدمته (على سبيل المثال، وفد عرجاء).
كما يتطلب أيضًا أن يكون موفر DNS الرسمي قابلاً للاستغلال، مما يسمح للمهاجم بالمطالبة بملكية المجال لدى مزود DNS الرسمي المفوض مع عدم إمكانية الوصول إلى حساب المالك الصالح في مسجل النطاق.
في مثل هذا السيناريو، في حالة انتهاء صلاحية خدمة DNS الرسمية للمجال، يمكن لممثل التهديد إنشاء حساب مع الموفر والمطالبة بملكية المجال، وفي النهاية انتحال شخصية العلامة التجارية وراء النطاق لتوزيع البرامج الضارة.
“هناك العديد من الاختلافات [of Sitting Ducks]قال بيرتون: “بما في ذلك عندما يتم تسجيل النطاق وتفويضه ولكن لم يتم تكوينه لدى الموفر”.
تم استخدام هجوم Sitting Ducks كسلاح من قبل جهات تهديد مختلفة، حيث تم استخدام النطاقات المسروقة لتغذية أنظمة توزيع حركة المرور المتعددة (TDSes) مثل 404 TDS (المعروف أيضًا باسم Vacant Viper) وVexTrio Viper. وقد تم الاستفادة منه أيضًا بث خدع التهديد بالقنابل وعمليات الاحتيال الجنسي.
وقال بيرتون: “يجب على المؤسسات التحقق من النطاقات التي تمتلكها لمعرفة ما إذا كان أي منها ضعيفًا، ويجب عليها استخدام موفري DNS الذين يتمتعون بالحماية ضد Sitting Ducks”.
إرسال التعليق