Sitting Ducks greifen an: Über 1 Mio. Domains in Gefahr der Übernahme!
In der Welt der Cyberkriminalität besteht für mehr als 1 Million Domains das Risiko einer Übernahme durch Bedrohungsakteure, nachdem der Sitting-Ducks-Angriff bekannt wurde. Jüngsten Berichten zufolge wird der Angriff über die Ausnutzung einer DNS-Schwachstelle (Domain Name System) durchgeführt und von russischen Cyberkriminellen ausgeführt. In diesem Artikel befassen wir uns mit den Details der Schwachstelle, um herauszufinden, wie die Bedrohungsakteure sie ausnutzen. Fangen wir an!
Sitzende Enten greifen an: Erste Entdeckung
Eine von Infoblox und Exlypsium veröffentlichte Analyse hat ergeben, dass DNS-Schwachstellen von mehr als einem Dutzend russischer Cyberkrimineller ausgenutzt werden, um bösartige Domainübernahmeversuche zu starten.
Um einen solchen Angriff durchzuführen, kapern Hacker eine Domain, die derzeit entweder bei einem Webhosting-Anbieter oder einem DNS-Dienst registriert ist. Der Hijack-Versuch wird jedoch ohne Zugriff auf das eigentliche Konto des Eigentümers durchgeführt. Zur Effektivität der Sitting-Ducks-Angriffstechnik sagen die Forscher Folgendes:
"Sitting Ducks ist einfacher durchzuführen, wahrscheinlicher erfolgreich und schwerer zu entdecken als andere bekannte Angriffsvektoren für Domain-Hijacking, wie z. B. Dangling CNAMEs.
Die erste Entdeckung der Sitting-Ducks-Angriffstechnik wurde vor fast einem Jahrzehnt, im Jahr 2016, von The Hacker Blog gemacht. Seit 2018 sind mehr als 35.000 Domains dem Domain-Hijacking-Angriff zum Opfer gefallen. Medienberichten zufolge ist die Technik nach wie vor weitgehend unbekannt und wurde bis heute nicht aufgeklärt.
Bösartige Domainübernahme-Attacke Details
Bevor man sich mit der Angriffskette befasst, ist es wichtig, die Ursachen für den Erfolg dieser Technik zu verstehen. Bei dieser bösartigen Methode der Domainübernahme spielen drei Faktoren eine wichtige Rolle:
- Falsche Konfiguration bei der Domänenregistrierungsstelle.
- Nameserver, die nicht in der Lage sind, autoritativ für eine Domäne zu antworten.
- Unzureichende Überprüfung der Eigentümerschaft durch den autoritativen DNS-Anbieter.
Vor der Durchführung eines Angriffs mit dieser Methode stellen die Bedrohungsakteure auch sicher, dass der DNS-Anbieter ausnutzbar ist. Dies ermöglicht es ihnen, weiterzumachen, ohne auf das Konto des rechtmäßigen Eigentümers zuzugreifen. Wenn der Domänendienst ausläuft, können die Bedrohungsakteure außerdem ein neues Konto beim Anbieter erstellen, um den Besitz zu beanspruchen.
Danach kann die Domain als Verbreitungsmedium für Malware genutzt werden. Außerdem kann sie für andere böswillige Zwecke genutzt werden, z. B. zum Versenden von Spam und zum Missbrauch des vom ursprünglichen Eigentümer erworbenen Vertrauens. Im Laufe der Jahre wurde die Sitting-Ducks-Angriffstechnik von mehreren Bedrohungsakteuren eingesetzt:
- Sextortion-Betrug.
- Verteilung des Treibstoffs im Verkehr.
- Spammy Bear Aktivitätscluster.
- Verbreitung von Bombendrohungstäuschungen.
Um sich vor Cyberkriminalität dieses Ausmaßes zu schützen, sollten Unternehmen ihre Domains regelmäßig auf Anzeichen bösartiger Aktivitäten überprüfen und mit Providern zusammenarbeiten, die über Schutzmechanismen für den Sitting-Ducks-Angriff verfügen.
Schlussfolgerung
Der Sitting-Ducks-Angriff stellt eine erhebliche und weitgehend ungelöste Bedrohung für die Domain-Sicherheit dar. Unternehmen müssen ihre Domains und DNS-Anbieter proaktiv überprüfen, um das Risiko böswilliger Übernahmen zu mindern und die Vertrauenswürdigkeit ihrer Online-Präsenz zu gewährleisten. Angesichts der Häufigkeit solcher Bedrohungen ist der Einsatz robuster Schutzmechanismen jetzt eine Notwendigkeit, um die Sicherheitslage zu verbessern und das Risiko zu verringern.
Die Quelle für diesen Artikel sind Artikel in The Hacker News und Security Affairs.