백만 개가 넘는 도메인이 악의적인 행위자에 의해 인수될 가능성이 있습니다. 앉아 있는 오리 공격.
Infoblox와 Eclypsium이 공동으로 발표한 분석 결과에 따르면, 도메인 이름 시스템(DNS)의 취약점을 악용하는 강력한 공격 벡터를 러시아와 연계된 수십 개의 사이버 범죄자들이 은밀하게 도메인을 하이재킹하는 데 악용하고 있다고 밝혔습니다.
연구원들은 “Sitting Ducks 공격에서 해커는 DNS 제공자나 등록 기관의 실제 소유자 계정에 접근하지 않고도 권한 있는 DNS 서비스나 웹 호스팅 제공자에 현재 등록된 도메인을 하이재킹합니다.”라고 밝혔습니다.
“Sitting Ducks는 수행하기 쉽고, 성공 가능성이 더 높으며, CNAME을 매달아 놓는 것과 같은 다른 잘 알려진 도메인 하이재킹 공격 벡터보다 감지하기 어렵습니다.”
도메인이 위협 행위자에게 인수되면 악성 코드를 제공하고 스팸을 보내는 등 온갖 불법적인 활동에 사용될 수 있으며, 합법적 소유자와의 신뢰를 악용할 수도 있습니다.
“악성” 공격 기술의 세부 사항은 2016년 The Hacker Blog에서 처음 기록되었지만, 현재까지 대부분 알려지지 않았고 해결되지 않은 상태입니다. 2018년 이후로 35,000개 이상의 도메인이 하이재킹된 것으로 추정됩니다.
“저희에게는 미스터리입니다.” Infoblox의 위협 인텔리전스 부사장인 레네 버튼 박사는 The Hacker News에 이렇게 말했습니다. “저희는 잠재 고객으로부터 자주 질문을 받습니다. 예를 들어, 잊혀진 레코드를 하이재킹하는 dangling CNAME 공격에 대한 질문도 있지만, Sitting Ducks 하이재킹에 대한 질문은 한 번도 받은 적이 없습니다.”
문제는 도메인 등록 기관과 권한 있는 DNS 제공자의 잘못된 구성과, 네임 서버가 서비스하도록 등록된 도메인에 대해 권한 있게 응답할 수 없다는 사실(즉, 허술한 위임)입니다.
또한 권한 있는 DNS 공급자가 악용될 수 있어야 하며, 공격자는 도메인 등록 기관의 유효한 소유자 계정에 액세스할 수 없으면서도 위임된 권한 있는 DNS 공급자에서 도메인 소유권을 주장할 수 있어야 합니다.
이런 시나리오에서 해당 도메인의 권한 있는 DNS 서비스가 만료되면 위협 행위자는 공급자에게 계정을 만들고 도메인 소유권을 주장하고 궁극적으로 해당 도메인 뒤에 있는 브랜드를 사칭하여 맬웨어를 배포할 수 있습니다.
버튼은 “도메인이 등록되고 위임되었지만 공급자에서 구성되지 않은 경우를 포함하여 (Sitting Ducks의) 변형은 많습니다.”라고 말했습니다.
Sitting Ducks 공격은 다양한 위협 행위자에 의해 무기화되었으며, 도난된 도메인은 404 TDS(일명 Vacant Viper) 및 VexTrio Viper와 같은 여러 트래픽 분배 시스템(TDS)에 연료를 공급하는 데 사용되었습니다. 또한 폭탄 위협 사기 및 섹스토션 사기를 퍼뜨리는 데 활용되었습니다.
버튼은 “조직은 자신이 소유한 도메인을 확인하여 쓸모없는 도메인이 있는지 확인해야 하며, Sitting Ducks에 대한 보호 기능이 있는 DNS 공급자를 사용해야 합니다.”라고 말했습니다.
