“坐地鸭”DNS攻击让黑客劫持了超过35000个域名

威胁者在所谓的"Sitting Ducks"攻击中劫持了 35000 多个注册域名，这些攻击允许在无法访问域名所有者在 DNS 提供商或注册商的帐户的情况下申请域名。

在 Sitting Ducks 攻击中，网络犯罪分子利用注册商一级的配置缺陷和 DNS 提供商的所有权验证不足。

以 DNS 为重点的安全厂商 Infoblox 以及固件和硬件保护公司 Eclypsium 的研究人员发现，通过 Sitting Ducks 攻击，每天有超过一百万个域名可能被劫持。

多年来，多个俄罗斯网络犯罪团伙一直在使用这一攻击载体，并在垃圾邮件活动、诈骗、恶意软件交付、网络钓鱼和数据外渗中利用被劫持的域名。

尽管 Snap 公司的安全工程师马修-布莱恩特（Matthew Bryant）在 2016 年首次记录了使 Sitting Ducks 成为可能的问题[1,2]，但与其他更知名的方法相比，该攻击向量仍然是一种更容易劫持域名的方法。

要实现攻击，需要满足以下条件：

- 注册域名使用或委托注册商以外的供应商提供权威 DNS 服务

- 记录的权威名称服务器因缺乏域名信息而无法解析查询（跛脚授权）

- DNS 提供商需要允许在不适当验证所有权或要求访问所有者账户的情况下申请域名

这种攻击的变种包括部分无效授权（并非所有名称服务器都配置错误）和重新授权给另一家 DNS 提供商。但是，如果满足蹩脚授权和可利用的提供商条件，域名就会被劫持。

先决条件图

Infoblox解释说，攻击者可以在使用不同于注册商的提供商（如网络托管服务）提供的权威 DNS 服务的域名上使用 Sitting Ducks 方法。

如果目标域名的权威 DNS 或虚拟主机服务已过期，攻击者只需在 DNS 服务提供商处创建一个账户，就可以申请该域名。

威胁者现在可以在该域名下建立一个恶意网站，并配置 DNS 设置，将 IP 地址记录请求解析到假地址；而合法所有者将无法修改 DNS 记录。

Infoblox和Eclypsium报告称，自 2018 年和 2019 年以来，他们观察到多个威胁行为体利用"坐鸭"（或"现坐鸭"--DNS）攻击载体。

从那时起，至少有 35000 起域名劫持案件使用了这种方法。通常情况下，网络犯罪分子持有域名的时间很短，但也有长达一年的情况。

还发生过同一域名先后被多个威胁行为者劫持的情况，这些威胁行为者在其行动中使用该域名一到两个月，然后将其转移。

GoDaddy 已被确认为 Sitting Ducks 攻击的受害者，但研究人员称，目前还有六家 DNS 提供商存在漏洞。

观察到的利用"坐地鸭"的活动集群概述如下：

"垃圾熊"--2018 年底劫持 GoDaddy 域名用于垃圾邮件活动。

"Vacant Viper"--2019年12月开始使用Sitting Ducks，此后每年劫持2500次，用于分发IcedID的404TDS系统，并为恶意软件设置命令和控制（C2）域。

VexTrio Viper"--2020年初开始使用"Sitting Ducks"，在大型流量分配系统（TDS）中使用域名，为SocGholish和ClearFake行动提供便利。

未具名行为者- 一些规模较小且未知的威胁行为者创建了 TDS、垃圾邮件分发和网络钓鱼网络。

域名所有者应定期检查其 DNS 配置是否存在防护不足的授权，尤其是较老的域名，并在注册商或权威名称服务器上更新授权记录，提供适当的、活跃的 DNS 服务。

建议注册商主动检查包含弱电点的授权，并提醒所有者。他们还应确保在传播名称服务器授权之前已建立 DNS 服务。

最终，监管机构和标准机构必须制定长期战略来解决 DNS 漏洞问题，并迫使其管辖范围内的 DNS 提供商采取更多措施来减少 Sitting Ducks 攻击。