Meer dan een miljoen domeinen zijn vatbaar voor overname door kwaadwillende actoren door middel van wat een Zittende eenden aanval.
Uit een gezamenlijke analyse van Infoblox en Eclypsium blijkt dat de krachtige aanvalsmethode, die gebruikmaakt van zwakke plekken in het domeinnaamsysteem (DNS), door meer dan een dozijn Russische cybercriminelen wordt misbruikt om heimelijk domeinen te kapen.
“Bij een Sitting Ducks-aanval kaapt de hacker een domein dat op dat moment geregistreerd is bij een gezaghebbende DNS-service of webhostingprovider, zonder toegang te krijgen tot het account van de echte eigenaar bij de DNS-provider of registrar”, aldus de onderzoekers.
“Sitting Ducks zijn gemakkelijker uit te voeren, hebben meer kans op succes en zijn moeilijker te detecteren dan andere bekende aanvalsmethoden voor domeinkaping, zoals zwevende CNAME’s.”
Zodra een domein is overgenomen door een kwaadwillende partij, kan het voor allerlei kwaadaardige activiteiten worden gebruikt, waaronder het verspreiden van malware en het versturen van spam. Hierbij wordt misbruik gemaakt van het vertrouwen dat de rechtmatige eigenaar heeft.
Details van de “verderfelijke” aanvalstechniek werden voor het eerst gedocumenteerd door The Hacker Blog in 2016, hoewel het tot op heden grotendeels onbekend en onopgelost blijft. Naar schatting zijn er sinds 2018 meer dan 35.000 domeinen gekaapt.
“Het is een mysterie voor ons,” vertelde Dr. Renee Burton, vice president of threat intelligence bij Infoblox, aan The Hacker News. “We krijgen regelmatig vragen van potentiĆ«le klanten, bijvoorbeeld over bungelende CNAME-aanvallen die ook een kaping zijn van vergeten records, maar we hebben nog nooit een vraag ontvangen over een Sitting Ducks-kaping.”
Het probleem is de onjuiste configuratie bij de domeinregistrar en de gezaghebbende DNS-provider, in combinatie met het feit dat de nameserver niet gezaghebbend kan reageren voor een domein dat hij moet bedienen (oftewel gebrekkige delegatie).
Daarnaast is het vereist dat de gezaghebbende DNS-provider misbruikt kan worden, zodat de aanvaller eigenaarschap van het domein kan claimen bij de gedelegeerde gezaghebbende DNS-provider, zonder dat hij toegang heeft tot het account van de geldige eigenaar bij de domeinregistrar.
In een dergelijk scenario zou de kwaadwillende partij, als de gezaghebbende DNS-service voor het domein zou verlopen, een account bij de provider kunnen aanmaken en eigenaarschap van het domein kunnen claimen. Uiteindelijk zou de kwaadwillende partij zich voordoen als het merk achter het domein om malware te verspreiden.
“Er zijn veel variaties (van Sitting Ducks), bijvoorbeeld wanneer een domein is geregistreerd en gedelegeerd, maar nog niet geconfigureerd bij de provider”, aldus Burton.
De Sitting Ducks-aanval is door verschillende dreigingsactoren als wapen gebruikt, waarbij de gestolen domeinen worden gebruikt om meerdere verkeersdistributiesystemen (TDSes) te voeden, zoals 404 TDS (ook bekend als Vacant Viper) en VexTrio Viper. Het is ook gebruikt om bommeldingen en sextortion-scams te verspreiden.
“Organisaties moeten controleren of de domeinen die ze bezitten niet kwetsbaar zijn en ze moeten DNS-providers gebruiken die bescherming bieden tegen ‘sitting ducks'”, aldus Burton.