ผู้ไม่หวังดีได้จี้โดเมนกว่า 35,000 โดเมนในช่วงห้าปีที่ผ่านมาเนื่องจากผู้ให้บริการ DNS ล้มเหลวในการตรวจสอบความเป็นเจ้าของโดเมนอย่างถูกต้อง
ผู้ให้บริการ DNS ที่มีการตรวจสอบความเป็นเจ้าของโดเมนที่อ่อนแอหรือไม่มีเลย ทำให้มีโดเมนกว่าหนึ่งล้านโดเมนเสี่ยงต่อการถูกจี้ รายงานโดยบริษัทความปลอดภัยทางไซเบอร์ Eclypsium และ Infoblox
ปัญหานี้นำไปสู่การจี้โดเมนกว่า 35,000 โดเมนในช่วงหกปีที่ผ่านมา โดยทั้งหมดถูกนำไปใช้ในทางที่ผิดเพื่อการแอบอ้างแบรนด์ ขโมยข้อมูล การแจกจ่ายมัลแวร์ และฟิชชิ่ง
“เราพบว่ามีผู้โจมตีทางไซเบอร์เชื้อสายรัสเซียกว่าสิบกลุ่มใช้ช่องทางการโจมตีนี้เพื่อจี้ชื่อโดเมนโดยไม่ถูกตรวจพบ เราเรียกการโจมตีนี้ว่า Sitting Ducks attack” Infoblox กล่าว
มีหลายรูปแบบของการโจมตี Sitting Ducks ซึ่งเป็นไปได้เนื่องจากการกำหนดค่าไม่ถูกต้องที่ผู้รับจดทะเบียนโดเมนและการขาดการป้องกันที่เพียงพอจากผู้ให้บริการ DNS
การมอบหมายเซิร์ฟเวอร์ชื่อ – เมื่อบริการ DNS ที่เชื่อถือได้ถูกมอบหมายให้กับผู้ให้บริการที่ต่างจากผู้รับจดทะเบียน – ช่วยให้ผู้โจมตีสามารถจี้โดเมนได้ เช่นเดียวกับการมอบหมายที่ไม่สมบูรณ์ – เมื่อเซิร์ฟเวอร์ชื่อที่เชื่อถือได้ของระเบียนไม่มีข้อมูลในการแก้ไขคำถาม – และผู้ให้บริการ DNS ที่ถูกใช้ประโยชน์ได้ – เมื่อผู้โจมตีสามารถอ้างสิทธิ์ความเป็นเจ้าของโดเมนโดยไม่ต้องเข้าถึงบัญชีของเจ้าของที่ถูกต้อง
“ในการโจมตี Sitting Ducks ผู้โจมตีจี้โดเมนที่ลงทะเบียนอยู่ในปัจจุบันที่บริการ DNS ที่เชื่อถือได้หรือผู้ให้บริการโฮสติ้งเว็บ โดยไม่เข้าถึงบัญชีของเจ้าของที่แท้จริงที่ผู้ให้บริการ DNS หรือผู้รับจดทะเบียน โดเมนที่ถูกจี้อาจมีการมอบหมายบางส่วนและการมอบหมายใหม่ให้กับผู้ให้บริการ DNS อื่น” Infoblox กล่าว
ช่องทางการโจมตีนี้ถูกค้นพบครั้งแรกในปี 2016 และถูกนำมาใช้ในแคมเปญการจี้โดเมนหลายพันโดเมนในอีกสองปีต่อมา และยังคงไม่เป็นที่รู้จักมากนักในปัจจุบันเมื่อมีโดเมนหลายร้อยโดเมนถูกจี้ทุกวัน
“เราพบโดเมนที่ถูกจี้และสามารถถูกใช้ประโยชน์ได้ใน TLDs หลายร้อย โดเมนที่ถูกจี้มักจะลงทะเบียนกับผู้รับจดทะเบียนที่ป้องกันแบรนด์ ในหลายกรณีโดเมนเหล่านี้เป็นโดเมนที่ดูคล้ายกันที่อาจถูกลงทะเบียนเพื่อป้องกันโดยแบรนด์หรือองค์กรที่ถูกต้อง เพราะโดเมนเหล่านี้มีเชื้อสายที่ได้รับการยอมรับสูง การใช้ในทางที่ผิดของพวกมันจึงยากที่จะตรวจพบ” Infoblox กล่าว
เจ้าของโดเมนควรตรวจสอบให้แน่ใจว่าไม่ได้ใช้ผู้ให้บริการ DNS ที่เชื่อถือได้ที่แตกต่างจากผู้รับจดทะเบียนโดเมน บัญชีที่ใช้สำหรับการมอบหมายเซิร์ฟเวอร์ชื่อในโดเมนและซับโดเมนของพวกเขาถูกต้อง และผู้ให้บริการ DNS ของพวกเขาได้ใช้มาตรการบรรเทาเพื่อต่อต้านการโจมตีประเภทนี้
ผู้ให้บริการ DNS ควรตรวจสอบความเป็นเจ้าของโดเมนสำหรับบัญชีที่อ้างชื่อโดเมน ควรตรวจสอบให้แน่ใจว่าโฮสต์เซิร์ฟเวอร์ชื่อที่ได้รับการกำหนดใหม่แตกต่างจากการกำหนดครั้งก่อน และป้องกันไม่ให้ผู้ถือบัญชีแก้ไขโฮสต์เซิร์ฟเวอร์ชื่อหลังจากการกำหนด Eclypsium กล่าว
“Sitting Ducks ทำได้ง่ายกว่า มีโอกาสสำเร็จมากกว่า และตรวจจับได้ยากกว่าช่องทางการโจมตีการจี้โดเมนที่เป็นที่รู้จักอย่างดีอื่น ๆ เช่น dangling CNAMEs ในขณะเดียวกัน Sitting Ducks กำลังถูกใช้ในวงกว้างเพื่อเอาเปรียบผู้ใช้ทั่วโลก” Infoblox กล่าว
Credit: securityweek.com
