DNS系统又现新攻击手法，轻松接管域名

域名劫持警报！黑客利用新发现的 Sitting Ducks 攻击轻松地将您重定向到虚假网站。保护自己免受网络钓鱼和数据泄露的侵害。

Infoblox 和 Eclypsium 的网络安全研究人员合作，在域名系统 (DNS) 中发现了一种复杂的攻击媒介，称为 Sitting Ducks 攻击。该攻击是在研究 404TDS（一种俄罗斯托管的流量分配系统）所使用的基础设施时披露的，表明俄罗斯网络犯罪分子参与其中。

Sitting Ducks 是一个与 DNS 相关的问题，由 Matt Bryant 于 2016 年 8 月首次发现。据报道，自 2024 年 6 月以来，一种新的漏洞利用威胁一直针对全球用户。 

这种攻击与其他域名控制技术不同，因为不需要注册商访问权限，攻击者所需要的只是蹩脚的委派。当注册域名或子域名将权威 DNS 服务委托给域名注册商以外的其他提供商时，就会发生委派，而当权威名称服务器缺乏域名信息且无法解析查询时，委派就会失效。当恶意行为者注册分配的域名并获得指向该域名的所有域名的访问权限时，就会发生蹩脚的委派攻击。 

此外，攻击者还会利用 DNS提供商的漏洞，在互联网上扫描授权不充分的域名，在未经适当授权的情况下声称拥有所有权。他们会为被劫持的域名创建恶意记录，将流量重定向到恶意服务器，并将用户重定向到攻击者的网站。

根据 Eclypsium 的博客文章，Sitting Ducks 有几种变体。它可以利用域名所有者名称服务器信息中的拼写错误，从而发起主动攻击以注册部分无效的域名。由于忘记配置而包含无效信息的悬空 DNS 记录可以推广到其他 DNS 记录类型。悬空 CNAME 攻击将 DNS 响应重定向到失效的域名，从而使恶意行为者可以注册失效的域名并获得血统。

对域名委托进行大规模分析以及对大约十几个 DNS 提供商进行评估后发现，有多个行为者（最突出的是俄罗斯网络犯罪分子）正在使用这种攻击，每天有数百个域名被劫持，这些域名通常是在品牌保护注册商或类似域名下注册的。

Infoblox 的报告中写道：“我们的研究显示，自 2018 年以来，Sitting Ducks 病毒载体已被用来劫持超过 35,000 个域名，但实际数字可能要高得多。”

此类攻击的后果可能非常严重。攻击者可以假借合法所有者的名义执行恶意活动，包括恶意软件传播、网络钓鱼活动、品牌冒充和数据泄露。研究人员指出，由于可利用的目标域超过 100 万个，并且有多种方法可用于检测此类域，因此此类攻击易于实施、几乎无法识别且完全可以预防。 

这些都是可以预防的，因为攻击可能由于域名和 DNS 记录管理中的漏洞而发生，因为DNS 配置错误经常被忽视为战略攻击面，并且针对 DNS 的已发布攻击媒介被视为不可避免的。

为了防止“坐以待毙”，域名所有者应使用独立于域名注册商的权威 DNS 提供商来避免“坐以待毙”攻击。确保域名和子域名的名称服务器委托给无效的服务提供商，并询问 DNS 提供商缓解措施以降低风险。 

攻击方法详情：

https://blogs.infoblox.com/threat-intelligence/who-knew-domain-hijacking-is-so-easy/

原文始发于微信公众号（独眼情报）：DNS系统又现新攻击手法，轻松接管域名