Les auteurs de menaces ont détourné plus de 35 000 domaines enregistrés dans des attaques dites de canards assis qui permettent de revendiquer un domaine sans avoir accès au compte du propriétaire chez le fournisseur DNS ou le bureau d’enregistrement.
Dans une attaque de canards assis, les cybercriminels exploitent les lacunes de configuration au niveau du bureau d’enregistrement et la vérification insuffisante de la propriété chez les fournisseurs DNS.
Des chercheurs du fournisseur de sécurité axé sur le DNS Infoblox et de la société de protection du micrologiciel et du matériel Eclypsium ont découvert qu’il y a plus d’un million de domaines qui peuvent être détournés chaque jour via les attaques Sitting Ducks.
Plusieurs groupes cybercriminels russes utilisent ce vecteur d’attaque depuis des années et ont exploité les domaines détournés dans des campagnes de spam, des escroqueries, la livraison de logiciels malveillants, le phishing et l’exfiltration de données.
Canards assis détails
Bien que les problèmes qui rendent possibles les canards assis aient été documentés pour la première fois en 2016 [1, 2] par Matthew Bryant, ingénieur en sécurité chez Snap, le vecteur d’attaque continue d’être un moyen plus facile de détourner des domaines que d’autres méthodes plus connues.
Pour que l’attaque soit possible, les conditions suivantes sont requises:
- le domaine enregistré utilise ou délègue des services DNS faisant autorité à un fournisseur autre que le bureau d’enregistrement
- le serveur de noms faisant autorité de l’enregistrement ne peut pas résoudre les requêtes car il lui manque les informations sur le domaine (délégation boiteuse)
- le fournisseur DNS doit autoriser la revendication d’un domaine sans vérifier correctement la propriété ou exiger l’accès au compte du propriétaire
Les variantes de l’attaque incluent partiellement la délégation lamedelegation (net tous les serveurs de noms sont configurés de manière incorrecte) et la redélégation vers un autre fournisseur DNS. Cependant, si la délégation boiteuse et les conditions de fournisseur exploitables sont remplies, le domaine peut être détourné.
Infoblox explique que les attaquants peuvent utiliser la méthode des canards assis sur des domaines qui utilisent des services DNS faisant autorité d’un fournisseur différent du registraire, tel qu’un service d’hébergement Web.
Si le service DNS ou d’hébergement Web faisant autorité pour le domaine cible expire, un attaquant peut simplement le réclamer après avoir créé un compte auprès du fournisseur de services DNS.
L’auteur de la menace peut désormais configurer un site Web malveillant sous le domaine et configurer les paramètres DNS pour résoudre les demandes d’enregistrement d’adresse IP vers la fausse adresse; et le propriétaire légitime ne pourra pas modifier les enregistrements DNS.
Attaques dans la nature
Infoblox et Eclipsium rapportent avoir observé plusieurs acteurs de la menace exploiter le vecteur d’attaque Sitting Ducks (ou Ducks Now Sitting – DNS) depuis 2018 et 2019.
Depuis lors, il y a eu au moins 35 000 cas de détournement de domaine utilisant cette méthode. En règle générale, les cybercriminels détenaient les domaines pendant une courte période, mais dans certains cas, ils les conservaient jusqu’à un an.
Il y a également eu des cas où le même domaine a été détourné successivement par plusieurs acteurs de la menace, qui l’ont utilisé dans leurs opérations pendant un à deux mois, puis l’ont transmis.
GoDaddy est confirmé comme victime d’attaques de canards assis, mais les chercheurs disent qu’il y a six fournisseurs DNS qui sont actuellement vulnérables.
Les groupes d’activités observés tirant parti des canards assis sont résumés comme suit:
- « Ours spammeur » – Domaines GoDaddy détournés à la fin de 2018 pour une utilisation dans des campagnes de spam.
- « Vacant Viper – – A commencé à utiliser des canards assis en décembre 2019 et en détourne 2 500 par an depuis lors, utilisés dans le système 404TDS qui distribue IcedID et configurant des domaines de commandement et de contrôle (C2) pour les logiciels malveillants.
- « VexTrio Viper – – A commencé à utiliser des canards assis au début de 2020 pour utiliser les domaines dans un système de distribution de trafic massif (TDS) qui facilite les opérations SocGholish et ClearFake.
- Acteurs anonymes-Plusieurs acteurs de menace plus petits et inconnus créant des TDS, des distributions de spam et des réseaux de phishing.
Conseils de défense
Les propriétaires de domaine doivent régulièrement revoir leurs configurations DNS pour les délégations boiteuses, en particulier sur les domaines plus anciens, et mettre à jour les enregistrements de délégation auprès du bureau d’enregistrement ou du serveur de noms faisant autorité avec des services DNS actifs appropriés.
Il est conseillé aux bureaux d’enregistrement d’effectuer des vérifications proactives pour les délégations boiteuses et d’alerter les propriétaires. Ils doivent également s’assurer qu’un service DNS est établi avant de propager les délégations de serveur de noms.
En fin de compte, les régulateurs et les organismes de normalisation doivent élaborer des stratégies à long terme pour remédier aux vulnérabilités du DNS et inciter les fournisseurs de DNS relevant de leur juridiction à prendre davantage de mesures pour atténuer les attaques de canards assis.