Los actores de amenazas secuestraron más de 35.000 nombres de dominio registrados en los llamados ataques "SittingDucks", que permiten reclamar nombres de dominio sin acceso a la cuenta del propietario del dominio con un proveedor o registrador de DNS.
En el ataque de SittingDucks, los ciberdelincuentes explotaron fallas de configuración a nivel de registrador y una verificación de propiedad insuficiente por parte del proveedor de DNS.
Investigadores del proveedor de seguridad centrado en DNS Infoblox y de la empresa de protección de firmware y hardware Eclypsium descubrieron que más de un millón de nombres de dominio pueden ser secuestrados cada día a través de ataques SittingDucks.
Múltiples grupos cibercriminales rusos han estado utilizando este vector de ataque durante años y explotando dominios secuestrados en campañas de spam, estafas, entrega de malware, phishing y exfiltración de datos.
Aunque el ingeniero de seguridad de Snap, Matthew Bryant, documentó por primera vez los problemas que hicieron posible SittingDucks en 2016 [1,2], este vector de ataque sigue siendo una forma más fácil de secuestrar un dominio que otros métodos más conocidos.
Para implementar el ataque, se deben cumplir las siguientes condiciones:
-Registrar nombres de dominio utilizando o confiando a proveedores distintos del registrador para proporcionar servicios DNS autorizados.
-El servidor de nombres autorizado no puede resolver la consulta debido a la falta de información del nombre de dominio (autorización poco convincente)
-Los proveedores de DNS deben permitir que se reclamen nombres de dominio sin verificar adecuadamente la propiedad ni requerir acceso a la cuenta del propietario.
Las variantes de este ataque incluyen la delegación parcial no válida (no todos los servidores de nombres están mal configurados) y la redelegación a otro proveedor de DNS. Sin embargo, los nombres de dominio pueden ser secuestrados si se cumplen una autorización deficiente y condiciones de proveedor explotables.
Infoblox explica que los atacantes pueden utilizar el método SittingDucks en nombres de dominio que utilizan servicios DNS autorizados de un proveedor diferente al registrador, como un servicio de alojamiento web.
Si el DNS autorizado o el servicio de host virtual del nombre de dominio de destino ha caducado, el atacante sólo necesita crear una cuenta con el proveedor de servicios DNS para solicitar el nombre de dominio.
El actor de amenazas ahora puede configurar un sitio web malicioso con el nombre de dominio y configurar los ajustes de DNS para resolver solicitudes de registro de direcciones IP en direcciones falsas; el legítimo propietario no podrá modificar el registro DNS.
Infoblox y Eclypsium informan que desde 2018 y 2019, han observado múltiples actores de amenazas que utilizan el vector de ataque "pato fácil" (o "pato fácil" - DNS).
Desde entonces, al menos 35.000 casos de secuestro de nombres de dominio han utilizado este método. Normalmente, los ciberdelincuentes mantienen nombres de dominio durante un corto período de tiempo, pero ha habido casos de hasta un año.
También ha habido casos en los que el mismo nombre de dominio ha sido secuestrado por múltiples actores de amenazas, que lo utilizaron en sus operaciones durante uno o dos meses y luego lo trasladaron.
Se ha confirmado que GoDaddy es víctima del ataque SittingDucks, pero los investigadores dicen que seis proveedores de DNS más son actualmente vulnerables.
A continuación se presenta una descripción general de los grupos de actividad observados que utilizan "patos sentados":
"Spam Bear": nombres de dominio de GoDaddy secuestrados a finales de 2018 para campañas de spam.
"VacantViper": comenzó a usar SittingDucks en diciembre de 2019 y desde entonces lo ha secuestrado 2500 veces al año para distribuir el sistema 404TDS de IcedID y configurar un dominio de comando y control (C2) para el malware.
VexTrioViper" - "SittingDucks" comenzó a principios de 2020, utilizando nombres de dominio en grandes sistemas de distribución de tráfico (TDS) para facilitar las operaciones de SocGholish y ClearFake.
Actores sin nombre: varios actores de amenazas más pequeños y desconocidos crean TDS, distribución de spam y redes de phishing.
Los propietarios de nombres de dominio deben verificar periódicamente su configuración DNS para detectar delegaciones insuficientemente protegidas, especialmente nombres de dominio más antiguos, y actualizar los registros de delegación en el registrador o en los servidores de nombres autorizados para proporcionar servicios DNS activos y adecuados.
Se recomienda a los registradores que verifiquen de manera proactiva las autorizaciones que contengan puntos débiles y alerten a los propietarios. También deben asegurarse de que los servicios DNS estén establecidos antes de propagar la autoridad del servidor de nombres.
En última instancia, los reguladores y los organismos de normalización deben desarrollar estrategias a largo plazo para abordar las vulnerabilidades del DNS y obligar a los proveedores de DNS bajo su jurisdicción a hacer más para mitigar los ataques de SittingDucks.