Según un nuevo estudio, más de un millón de nombres de dominio, incluidos muchos registrados por empresas Fortune 100 y empresas de protección de marcas, son vulnerables a la toma de control por parte de ciberdelincuentes debido a debilidades de autenticación en varios de los principales proveedores de registro de dominios y alojamiento web.
Imagen: Shutterstock.
Su navegador web sabe cómo encontrar un sitio como ejemplo.com utilizando el motor de búsqueda global. sistema de nombres de dominio (DNS), que sirve como una especie de directorio telefónico para Internet al traducir nombres de sitios web fáciles de usar (ejemplo.com) en direcciones numéricas de Internet.
Cuando alguien registra un nombre de dominio, el registrador normalmente proporciona dos conjuntos de registros DNS que el cliente debe asignar a su dominio. Estos registros son esenciales porque permiten a los navegadores web encontrar la dirección de Internet del proveedor de alojamiento que presta servicios a ese dominio.
Pero pueden surgir problemas potenciales cuando los registros DNS de un dominio son “poco convincentes”, lo que significa que el servidor de nombres autorizado no tiene suficiente información sobre el dominio y no puede resolver consultas para encontrarlo. Un dominio puede volverse aburrido de diversas maneras, como cuando no tiene una dirección de Internet asignada o porque los servidores de nombres en el registro autorizado del dominio están mal configurados o faltan.
La razón por la que los dominios aburridos son problemáticos es que varios proveedores de DNS y alojamiento web permiten a los usuarios reclamar el control de un dominio. sin acceder a la cuenta del propietario real con su proveedor o registrador de DNS.
Si esta amenaza le resulta familiar es porque no es nueva. En 2019, KrebsOnSecurity informó que los ladrones estaban usando este método para tomar el control de miles de dominios registrados en GoDaddy y usarlos para enviar amenazas de bomba y correos electrónicos de sextorsión (GoDaddy afirma haber solucionado esta debilidad en sus sistemas poco después de este artículo de 2019).
Durante la campaña de 2019, los spammers crearon cuentas en GoDaddy y pudieron tomar el control de dominios vulnerables simplemente registrando una cuenta gratuita en GoDaddy y asignándoles los mismos servidores DNS que el dominio comprometido.
Tres años antes, un investigador de seguridad describió la misma debilidad generalizada en una publicación de blog. Mateo Bryantquien mostró cómo podíamos Solicitar al menos 120.000 dominios. a través de debilidades de DNS en algunos de los proveedores de hosting más grandes del mundo.
Increíblemente, una nueva investigación publicada hoy conjuntamente por expertos en seguridad de Infoblox Y Eclipse señala que esta misma debilidad de autenticación todavía está presente entre varios grandes proveedores de hosting y DNS.
“Es fácil de explotar, muy difícil de detectar y es totalmente prevenible”, afirmó. David MitchellInvestigador senior de amenazas en Infoblox. “Los servicios gratuitos lo hacen más fácil [to exploit] a gran escala. Y la mayoría de ellos están administrados por un puñado de proveedores de DNS. »
PATOS SENTADOS
informe de infoblox Hemos descubierto que muchos grupos cibercriminales explotan estos dominios robados como un “sistema de entrega de tráfico” disperso globalmente que puede usarse para ocultar el verdadero origen o destino del tráfico web y para canalizar a los usuarios hacia sitios web maliciosos o de phishing.
Apoderarse de dominios de esta manera también puede permitir a los ladrones hacerse pasar por marcas confiables y abusar de su reputación positiva o al menos neutral al enviar correos electrónicos desde estos dominios, como vimos en 2019 con los ataques de GoDaddy.
“Los dominios secuestrados se han utilizado directamente en ataques de phishing y estafas, así como en grandes esquemas de spam”, se lee en el informe de Infoblox, que califica a los dominios cojos “patos sentados“Existe evidencia de que ciertos dominios se han utilizado para Cobalt Strike y otro malware de comando y control (C2). Otros ataques han utilizado dominios secuestrados en ataques de phishing dirigidos mediante la creación de subdominios similares. Algunos actores almacenaron dominios pirateados con un propósito desconocido. »
Investigadores de eclypsium estimar Actualmente hay alrededor de un millón de dominios de pato sentado y al menos 30.000 de ellos han sido secuestrados con fines maliciosos desde 2019.
“En el momento de escribir este artículo, muchos proveedores de DNS permiten esto mediante una verificación débil o nula de la propiedad del dominio para una cuenta determinada”, escribe Eclypsium.
Las empresas de seguridad dijeron que descubrieron que varios dominios comprometidos fueron registrados inicialmente por empresas de protección de marcas que se especializan en registros de dominios defensivos (reservando dominios similares para marcas importantes antes de que los estafadores recuperaran esos nombres) y en la lucha contra la falsificación de marcas.
Por ejemplo, Infoblox descubrió grupos de ciberdelincuentes que utilizaban un dominio sentado llamado clickermediacorp[.]conque fue registrado originalmente a nombre de CBS interactivo Inc. por la empresa de protección de marca Monitor de marca.
Otro dominio de pato sentado secuestrado: Antiphishing[.]organización — fue registrado en 2003 por el Grupo de trabajo antiphishing (APWG), una organización sin fines de lucro de ciberseguridad que rastrea ataques de phishing.
En muchos casos, los investigadores han descubierto dominios sentados que parecen haber sido configurados para renovarse automáticamente con el registrador, pero el DNS autorizado o los servicios de alojamiento no fueron renovados.
Los investigadores dicen que los dominios Sitting Duck tienen tres atributos que los hacen vulnerables a la adquisición:
1) el dominio utiliza o delega servicios DNS autorizados a un proveedor que no sea el registrador del dominio;
2) el servidor de nombres autorizado para el dominio no tiene información sobre la dirección de Internet a la que debe apuntar el dominio;
3) el proveedor de DNS autorizado es “explotable”, es decir, un atacante puede reclamar el dominio del proveedor y configurar registros DNS sin acceder a la cuenta válida del propietario del dominio con el registrador del dominio.
Imagen: Infoblox.
¿Cómo saber si se puede utilizar un proveedor de DNS? Hay una lista actualizada periódicamente publicada en GitHub llamado “¿Puedo soportar DNS?”, que ha documentado la explotabilidad de los proveedores de DNS durante varios años. La lista incluye ejemplos para cada uno de los proveedores de DNS mencionados.
En el caso del dominio Sitting Duck antes mencionado, clickermediacorp[.]com, el dominio fue registrado originalmente por MarkMonitor, pero parece haber sido secuestrado por estafadores que lo reclaman de la empresa de alojamiento web. DNS simplificadoquien pertenece a Digicertuno de los mayores emisores de certificados digitales (certificados SSL/TLS) de la industria.
En una entrevista con KrebsOnSecurity, el fundador y vicepresidente senior de DNSMadeEasy trabajo de steve dijo que el problema no era realmente asunto de su empresa, y señaló que los proveedores de DNS que tampoco son registradores de dominios no tienen una forma real de validar si un cliente determinado posee legítimamente el dominio reclamado.
“Cerramos cuentas abusivas cuando las encontramos”, dijo Job. “Pero creo que la responsabilidad recae en la propia empresa. [domain registrants] Si compras algo y lo diriges a algún lugar sobre el que no tienes control, no podemos detenerlo.
Infoblox, Eclypsium y el listado de wiki DNS en Github indican que el gigante del alojamiento web Océano digital es una de las empresas de hosting vulnerables. En respuesta a preguntas, Digital Ocean dijo que estaba explorando opciones para mitigar esta actividad.
“El servicio DNS de DigitalOcean no es oficial y no somos un registrador de dominios”, escribió Digital Ocean en una respuesta por correo electrónico. “Cuando el propietario de un dominio ha delegado autoridad sobre nuestra infraestructura DNS a su registrador y ha permitido que expire la propiedad de ese registro DNS en nuestra infraestructura, eso se convierte en una “delegación poco convincente” según este modelo de piratería. Creemos que la causa principal, en última instancia, es una mala gestión de la configuración del nombre de dominio por parte del propietario, muy parecida a dejar las llaves del coche abiertas, pero reconocemos la oportunidad de ajustar nuestra guardia: proporciona servicios DNS no oficiales para minimizar el impacto. de una falta de higiene a nivel del DNS oficial. Estamos en contacto con equipos de investigación para explorar otras opciones de mitigación. »
En una declaración proporcionada a KrebsOnSecurity, el proveedor de alojamiento y registrador Anfitrión dijeron que estaban trabajando para implementar una solución para prevenir ataques de pato saliente en las “próximas semanas”.
“Estamos trabajando en la implementación de un sistema de verificación de dominio basado en SOA”, escribió Hostinger. “Se utilizarán servidores de nombres personalizados con un registro de inicio de autoridad (SOA) para verificar si el dominio realmente pertenece al cliente. Nuestro objetivo es lanzar esta solución fácil de usar a finales de agosto. El último paso es eliminar los dominios de vista previa, una característica que a veces utilizan los clientes con intenciones maliciosas. Los dominios de versión preliminar quedarán obsoletos a finales de septiembre. Los usuarios legítimos podrán utilizar subdominios temporales generados aleatoriamente. »
¿Cómo han resuelto estos problemas de autenticación los proveedores de DNS que han encontrado este problema en el pasado? Las compañías de seguridad dijeron que para reclamar un nombre de dominio, los proveedores de mejores prácticas daban al titular de la cuenta servidores de nombres aleatorios que requerían un cambio con el registrador antes de que los dominios pudieran entrar en funcionamiento. También descubrieron que los proveedores de mejores prácticas utilizaban varios mecanismos para garantizar que los hosts de servidores de nombres recién asignados no coincidieran con las asignaciones de servidores de nombres anteriores.
[Side note: Infoblox observed that many of the hijacked domains were being hosted at Stark Industries Solutions, a sprawling hosting provider that appeared two weeks before Russia invaded Ukraine and has become the epicenter of countless cyberattacks against enemies of Russia].
Tanto Infoblox como Eclypsium dijeron que sin una mayor cooperación y menos acusaciones por parte de todas las partes interesadas del DNS global, los ataques contra dominios fáciles de explotar seguirán aumentando, con los registrantes de dominios y los usuarios habituales de Internet atrapados en el fuego cruzado.
“Las organizaciones gubernamentales, los reguladores y los organismos de normalización deberían considerar soluciones a largo plazo para las vulnerabilidades en la superficie de ataque de la gestión del DNS”, concluye el informe de Infoblox.