轉載「Sitting Ducks 對上百萬個網域擁有者造成嚴重威脅」訊息

Sitting Ducks 對上百萬個網域擁有者造成嚴重威脅

  Infoblox和Eclypsium的研究人員發現一種網域名稱劫持攻擊，取名為「Sitting Ducks」，有超過百萬個網域易遭受此攻擊，且目前觀察到有數十個與俄羅斯相關的攻擊者正在利用此種攻擊。

Infoblox 和 Eclypsium 的研究人員發現 DNS 存在一種攻擊媒介，且有十多個與俄羅斯有關的攻擊者正在利用此種媒介進行攻擊，這是一種網域名稱劫持，研究人員給其名稱：Sitting Ducks。網域名稱系統(Domain Name System, DNS)是用以將網域名稱與IP連結，網域名稱是為了讓人更好記憶網站，但電腦裝置之間的通訊是透過IP來傳輸，因此透過DNS將網域轉為IP位址，這樣瀏覽器才能載入網站。

過去存在很多種針對DNS進行網域劫持，可讓攻擊者去執行惡意軟體傳播、網路釣魚、品牌冒充及資料外洩，而從2019年以來至今，Eclypsium 的研究人員認為超過 3 萬個網域被 Sitting Ducks 攻擊劫持，且當前有超過百萬個網域都有遭受此攻擊的風險。

Sitting Ducks攻擊的特性為易於執行攻擊且難以偵測，但可以完全被預防。Sitting Ducks攻擊是攻擊者去劫持目前已經註冊的網域，這些網域註冊在公開具權威性的DNS服務供應商或網頁主機供應商，而一旦攻擊者劫持網域，就可以假藉合法者的身分來進行任何惡意活動，如散播惡意程式、寄送釣魚信等。

由於Sitting Ducks攻擊並不需要攻擊者註冊網域名稱，故而跟常見的 DNS 劫持攻擊有根本的不同。Sitting Ducks攻擊的核心是網域名稱註冊商的錯誤配置和DNS 提供者的預防不充分所造成。

以下幾種情況可能會發生Sitting Ducks攻擊：

註冊的網域解析使用其他家DNS供應商，也就是使用DNS委派(即DNS 伺服器將部分網域解析作業委託其他DNS 伺服器執行)
DNS委派異常，意即接受委派的DNS伺服器上並沒有該註冊網域資料，因此無法提供DNS查詢。
DNS服務供應商設定錯誤，攻擊者可與DNS服務供應商聲明其擁有受害者網域名稱並設定DNS紀錄，而不需證明其為網域名稱註冊處的對應有效使用者。
故而促成此攻擊的主要因素就是DNS委派上的問題，同時DNS服務供應商存在錯誤的設置。

Infoblox研究人員表示其觀察約十幾個DNS服務供應商，發現此攻擊被廣泛利用，尤其以俄羅斯相關犯罪者最為常見，每天有數百個網域被劫持。

【資安新聞-twcertcc】

Sitting Ducks 對上百萬個網域擁有者造成嚴重威脅

詳細資訊請參考：https://www.twcert.org.tw/tw/cp-104-8012-975bd-1.html