앉아있는 오리 공격: 1백만 개 이상의 도메인이 탈취 위험에 처했습니다!
사이버 범죄의 세계에서는 시팅 덕스 공격이 밝혀지면서 현재 100만 개 이상의 도메인이 위협 행위자가 주도한 탈취의 위험에 직면해 있습니다. 최근 보고서에 따르면 이 공격은 도메인 이름 시스템(DNS) 취약점을 악용하여 수행되며 러시아 사이버 범죄자에 의해 수행됩니다. 이 글에서는 이 취약점에 대한 자세한 내용을 살펴보고 위협 행위자들이 이 취약점을 어떻게 악용하고 있는지 알아보겠습니다. 시작하겠습니다!
앉은 오리 공격: 초기 발견
인포블록스와 엑슬립시움이 발표한 분석에 따르면 12개 이상의 러시아 사이버 범죄자들이 악의적인 도메인 탈취를 시도하기 위해 DNS 취약점을 악용하고 있는 것으로 나타났습니다.
이러한 공격을 수행하기 위해 해커는 현재 웹 호스팅 제공업체 또는 DNS 서비스에 등록된 도메인을 하이재킹합니다. 그러나 하이재킹 시도는 소유자의 실제 계정에 액세스하지 않고 수행됩니다. 연구자들은 시팅 덕스 공격 기법의 효과에 대해 다음과 같이 주장합니다:
"시팅 덕은 CNAME 매달기 등 잘 알려진 다른 도메인 하이재킹 공격 기법보다 수행하기 쉽고 성공 가능성이 높으며 탐지하기 어렵습니다."
앉아있는 오리 공격 기법은 거의 10년 전인 2016년에 해커 블로그에서 처음 발견되었습니다. 2018년 이후 35,000개 이상의 도메인이 이 도메인 하이재킹 공격에 노출되었습니다. 언론 보도에 따르면 이 기법은 아직까지 거의 알려지지 않았으며 현재까지 해결되지 않은 상태라고 합니다.
악성 도메인 탈취 공격 세부 정보
공격 체인에 대해 자세히 알아보기 전에 이 기법의 성공과 관련된 근본적인 원인을 이해하는 것이 중요합니다. 이 악성 도메인 탈취 방법을 사용할 때 중요한 역할을 하는 세 가지 요소는 다음과 같습니다:
- 도메인 등록기관의 구성이 잘못되었습니다.
- 네임서버가 도메인에 대해 권한 있게 응답할 수 없습니다.
- 권한 있는 DNS 공급업체의 소유권 확인이 불충분합니다.
이 방법을 사용하여 공격을 수행하기 전에 위협 행위자는 DNS 공급업체가 익스플로잇 가능한지 확인합니다. 이를 통해 유효한 소유자의 계정에 액세스하지 않고도 공격을 계속할 수 있습니다. 또한 도메인 서비스가 만료되면 위협 행위자는 공급업체에 새 계정을 생성하여 소유권을 주장할 수 있습니다.
이후 해당 도메인은 멀웨어의 배포 매체로 사용될 수 있습니다. 이 외에도 원래 소유자가 획득한 신뢰를 악용하여 스팸을 전송하는 등 다른 악의적인 의도를 수행하는 데 사용될 수 있습니다. 지난 몇 년 동안 여러 위협 행위자들이 시팅 덕스 공격 기법을 사용해 왔습니다:
- 성착취 사기.
- 트래픽 분산 촉진.
- 스팸 곰 활동 클러스터.
- 폭탄 위협 사기를 퍼뜨리는 행위.
이러한 규모의 사이버 범죄로부터 보호하기 위해 조직은 도메인의 악성 활동 징후를 정기적으로 확인하고 시팅 덕스 공격과 관련된 보호 메커니즘을 갖춘 공급업체와 협력해야 합니다.
결론
시팅 덕스 공격은 도메인 보안에 대한 심각하고 대부분 해결되지 않은 위협을 나타냅니다. 조직은 악의적인 탈취의 위험을 완화하고 온라인 존재의 신뢰성을 보장하기 위해 도메인과 DNS 공급업체를 사전에 감사해야 합니다. 이러한 위협이 만연한 상황에서 강력한 보호 메커니즘을 사용하는 것은 이제 보안 태세를 개선하고 위험에 대한 노출을 낮추기 위한 필수 요소입니다.