Pembajakan domain menggunakan serangan ‘Sitting Ducks’ masih menjadi topik yang kurang dibahas dalam komunitas keamanan siber. Hanya sedikit peneliti ancaman yang mengenal vektor serangan ini, dan pengetahuan tentangnya masih terbatas. Namun, prevalensi serangan ini dan risikonya terhadap organisasi jauh lebih besar daripada yang dilaporkan sebelumnya. Setelah publikasi pertama kami tentang serangan Sitting Ducks, Infoblox Threat Intel menggali lebih dalam topik ini. Hasilnya adalah laporan baru yang membuka mata yang memperkirakan lebih dari 1 juta domain terdaftar dapat rentan terhadap serangan ini. Laporan ini juga mengeksplorasi penggunaan serangan ini yang meluas dan bagaimana banyak aktor memanfaatkannya untuk memperkuat kampanye jahat mereka. Bukti Baru tentang Serangan Sitting Ducks Pada serangan Sitting Ducks, aktor jahat mendapatkan kontrol penuh atas domain dengan mengubah pengaturan DNS-nya. Para penjahat siber telah menggunakan vektor ini sejak 2018 untuk membajak puluhan ribu nama domain. Domain yang menjadi korban termasuk merek terkenal, organisasi non-profit, dan entitas pemerintah. Infoblox Threat Intel membuat inisiatif pemantauan setelah publikasi awal tentang serangan Sitting Ducks pada Juli 2024. Hasilnya sangat mengejutkan, karena ditemukan 800.000 domain yang rentan, dan sekitar 70.000 di antaranya telah dibajak. Mudah Dilakukan oleh Aktor, Sulit Dideteksi oleh Tim Keamanan Serangan Sitting Ducks sangat mudah dilakukan. Serangan ini memanfaatkan kesalahan konfigurasi pada pengaturan DNS untuk sebuah domain, khususnya ketika server domain menunjuk ke server nama otoritatif yang salah. Kerentanannya, yang dikenal dengan ‘lame delegation’, tidak diakui sebagai CVE resmi atau oleh otoritas keamanan besar seperti CISA. Kurangnya perhatian terhadap masalah ini memungkinkan aktor untuk terus beroperasi tanpa terdeteksi. Kerugian tidak berhenti di situ. Setelah domain korban dikompromikan, aktor dapat menyiapkan infrastruktur serangan yang dapat menghindari deteksi yang ada. Reputasi positif dari domain yang dibajak memungkinkan mereka terlihat aman atau tidak berbahaya oleh kontrol keamanan, sehingga memungkinkan pengguna terhubung ke situs yang sudah dikompromikan dan dibersenjatai. Rendahnya hambatan teknis untuk melakukan serangan Sitting Ducks dan tambahan langkah intrusi yang tersembunyi dapat menarik lebih banyak kelompok penjahat siber, yang mengakibatkan lebih banyak kejadian serangan. Menambang dan Mendaur Ulang Domain yang Bisa Dieksploitasi Salah satu kejadian yang sering dilihat oleh peneliti ancaman Infoblox adalah pembajakan bergilir. Ini berarti sebuah domain dibajak oleh berbagai aktor seiring waktu. Para aktor ancaman sering mencari penyedia layanan yang dapat dieksploitasi, seperti penyedia DNS gratis, dan biasanya ‘meminjam’ (membajak) domain selama 30 hingga 60 hari. Peneliti juga melihat kasus di mana aktor mempertahankan domain untuk periode waktu yang lebih lama. Setelah akun gratis tersebut kedaluwarsa, domain akan ‘hilang’ oleh aktor pertama dan bisa diparkir atau diklaim oleh aktor lain. Vipers dan Hawks Menyerang Serangan Sitting Ducks Vacant Viper adalah salah satu aktor ancaman pertama yang memanfaatkan ‘Sitting Ducks’ dan telah membajak sekitar 2.500 domain setiap tahun sejak Desember 2019. Aktor ini menggunakan domain yang dibajak untuk memperkuat sistem distribusi lalu lintas jahat mereka (TDS) yang disebut 404TDS dengan tujuan menjalankan operasi spam jahat, mengirimkan pornografi, mendirikan server kontrol Trojan Akses Jarak Jauh (RAT), dan menurunkan malware seperti DarkGate dan AsyncRAT. Vacant Viper tidak membajak domain untuk hubungan dengan merek tertentu, tetapi untuk sejumlah sumber daya domain yang memiliki reputasi tinggi dan tidak akan diblokir oleh vendor keamanan. Vextrio Viper Aktor ini telah menggunakan domain yang dibajak sebagai bagian dari infrastruktur TDS mereka yang besar sejak awal 2020. Vextrio menjalankan program afiliasi penjahat siber terbesar yang diketahui, mengarahkan lalu lintas web yang dikompromikan ke lebih dari 65 mitra afiliasi, beberapa di antaranya juga mencuri domain melalui ‘Sitting Ducks’ untuk kegiatan jahat mereka sendiri. Aktor Baru: Horrid Hawk dan Hasty Hawk Infoblox telah menamai beberapa aktor baru yang berkembang dengan domain yang dibajak. Horrid Hawk adalah aktor ancaman DNS yang telah membajak domain dan menggunakannya untuk penipuan investasi sejak setidaknya Februari 2023. Mereka membuat iklan Facebook jangka pendek yang menargetkan pengguna di lebih dari 30 bahasa, menyebarkan penipuan yang berkaitan dengan program investasi pemerintah yang tidak ada. Hasty Hawk, yang ditemukan sejak setidaknya Maret 2022, telah membajak lebih dari 200 domain untuk menjalankan kampanye phishing yang luas, memalsukan halaman pengiriman DHL dan situs donasi palsu untuk mendukung Ukraina. Kerusakan bagi Individu dan Bisnis Serangan Sitting Ducks banyak merugikan korban. Berikut adalah kelompok yang dapat terpengaruh oleh serangan ini: Organisasi atau Bisnis: Kelompok pertama yang menjadi korban adalah organisasi atau bisnis yang memiliki domain rentan. Pembajakan mempengaruhi merek dan reputasi mereka begitu situs yang dikompromikan menjadi berita. Individu: Kelompok kedua adalah individu yang mengunjungi konten atau infrastruktur jahat di balik domain yang dipercaya. Satu tindakan yang tidak hati-hati dapat menyebabkan unduhan malware, pencurian kredensial, atau penipuan. Tim Keamanan: Kelompok terakhir yang menjadi korban adalah ribuan tim keamanan yang melindungi organisasi mereka dari ancaman terbaru. Penjahat siber seperti Hawks atau Vipers menggunakan ribuan domain yang terpercaya dalam sistem TDS dan infrastruktur serangan mereka, yang mengurangi efektivitas operasi keamanan mereka secara drastis. Cara Melindungi Diri dari Hawks Meskipun serangan Sitting Ducks relatif mudah dilakukan dan sulit dideteksi, serangan ini sepenuhnya dapat dicegah dengan konfigurasi yang benar pada registrar domain dan penyedia DNS. Kesalahan konfigurasi DNS sering kali merupakan kelalaian yang dapat diperbaiki oleh berbagai pihak: pemegang domain, registrar, dan penyedia DNS dapat membuat pembajakan jenis ini lebih sulit dilakukan atau lebih mudah diatasi. Baca Lebih Lanjut di Laporan Riset Kami Para ahli Infoblox Threat Intel telah membuat laporan mendalam yang ditujukan untuk peneliti ancaman dan profesional keamanan tingkat lanjut. Laporan ini menjelaskan cara kerja serangan Sitting Ducks dan bagaimana mengidentifikasi domain yang telah dikompromikan. Kami juga mengeksplorasi bagaimana Vipers dan Hawks melaksanakan serangan Sitting Ducks untuk membuat infrastruktur yang tahan terhadap deteksi oleh vendor keamanan.
Month: December 2024
Peraturan Pelaksanaan NIS 2 dan Pentingnya Keamanan DNS
NIS 2 Meningkatkan Standar Keamanan Jaringan Direktif Jaringan dan Sistem Informasi Uni Eropa (“NIS 2”), yang bertujuan untuk meningkatkan ketahanan keamanan siber di seluruh UE, dijadwalkan akan diterapkan dalam undang-undang Negara Anggota UE pada 17 Oktober 2024. Untuk gambaran umum yang komprehensif tentang persyaratan NIS 2, lihat blog kami sebelumnya. Menjelang tanggal tersebut, Komisi Eropa telah mengadopsi Peraturan Pelaksanaan NIS 2 yang menjelaskan lebih lanjut beberapa persyaratan teknis yang harus dipatuhi oleh entitas yang tunduk pada NIS 2. Persyaratan dari Peraturan Pelaksanaan ini membentuk dasar kepatuhan di seluruh UE, dan kami berharap hal tersebut akan dilengkapi dengan rincian teknis dan panduan lebih lanjut dalam beberapa bulan mendatang. Yang sangat relevan bagi para praktisi hukum, kepatuhan, dan keamanan siber yang bekerja untuk entitas yang tunduk pada NIS 2 adalah persyaratan dari Peraturan Pelaksanaan tentang keamanan DNS. Pasal 6(7) dari Peraturan Pelaksanaan mengharuskan bahwa “entitas terkait harus… menerapkan praktik terbaik untuk keamanan DNS.” Badan Keamanan Siber Uni Eropa (ENISA) akan membantu mendefinisikan apa yang dimaksud dengan “praktik terbaik untuk keamanan DNS,” dan kami berharap dapat bekerja sama dengan mereka dalam upaya ini. Infoblox telah menyediakan solusi DNS dan keamanan DNS selama lebih dari 25 tahun dan telah melakukan sejumlah besar penilaian kesehatan dan keamanan DNS di organisasi-organisasi di seluruh dunia. Berdasarkan pengalaman kami, kami memperkirakan bahwa praktik terbaik akan fokus pada tiga area kunci: Mengamankan Platform DNS; Mengamankan Protokol DNS; dan Menerapkan DNS sebagai Kontrol Keamanan Siber. Mengamankan Platform DNS Regulasi keamanan siber semakin fokus pada risiko operasional dan ketahanan digital, termasuk ketahanan dan ketersediaan infrastruktur kritis. DNS adalah layanan jaringan dasar yang sangat diandalkan oleh pengguna dan aplikasi. Kehilangan layanan akibat serangan penolakan layanan (DDoS) atau bahkan kesalahan konfigurasi dapat memiliki konsekuensi yang sangat merugikan. Diharapkan bahwa NIS 2, seperti regulasi lainnya, akan sangat fokus pada memastikan bahwa entitas yang diatur memiliki arsitektur DNS yang tangguh dan tahan banting yang diperhitungkan dalam rencana dan proses kelangsungan bisnis. Berdasarkan pengalaman Infoblox, banyak organisasi yang belum secara proaktif menilai ketahanan penyebaran DNS mereka, yang membuat mereka rentan terhadap risiko operasional dan keamanan siber yang signifikan. Entitas yang diatur kemungkinan perlu melakukan penilaian arsitektur DNS untuk mengatasi risiko seperti manajemen patch yang tidak memadai atau ketahanan arsitektur sebelum menerapkan proses untuk secara proaktif memelihara infrastruktur DNS mereka. Mengamankan Protokol DNS Seperti yang disoroti oleh Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA), DNS sering disalahgunakan oleh aktor ancaman untuk memfasilitasi berbagai jenis serangan, mulai dari ransomware hingga phishing. Menerapkan DNS tanpa perlindungan keamanan yang sesuai telah terbukti menjadi cara yang efektif untuk mengekstraksi data dari jaringan, karena sebagian besar infrastruktur keamanan siber memungkinkan lalu lintas DNS untuk memfasilitasi penelusuran web. Demikian pula, aktor ancaman tahu bahwa untuk melancarkan kampanye phishing yang menargetkan karyawan atau bahkan konsumen organisasi, menggunakan domain “mirip” yang meniru merek akan meningkatkan tingkat keberhasilan yang jauh lebih tinggi. Akibatnya, organisasi yang gagal mengamankan domain yang menghadap publik mereka atau mendaftarkan domain yang diharapkan dimiliki oleh pengguna dapat menghadapi konsekuensi yang merugikan. Penelitian Infoblox menunjukkan bahwa organisasi dari berbagai ukuran menjadi target, dengan Infoblox mendeteksi 25.000 domain mirip baru setiap minggu. Mengingat prevalensi penyalahgunaan protokol DNS dan domain oleh aktor ancaman, sangat diharapkan bahwa NIS 2 dan regulasi lainnya akan mendorong entitas yang diatur untuk merumuskan strategi dan proses untuk mengamankan domain otoritatif mereka yang menghadap publik. Menerapkan DNS sebagai Kontrol Keamanan Siber Menurut pejabat keamanan siber AS Anne Neuberger, “menggunakan DNS yang aman akan mengurangi kemampuan 92% serangan malware… dari perspektif perintah dan kendali, menyebarkan malware di jaringan tertentu.” Mengingat bahwa platform DNS memiliki “tempat duduk di barisan depan” untuk mengetahui malware apa yang sedang beroperasi di jaringan, sepertinya masuk akal untuk mengintegrasikan DNS ke dalam setiap strategi pertahanan keamanan siber. DNS Perlindungan merujuk pada layanan DNS yang mengintersepsi permintaan dari klien untuk menyelesaikan domain DNS yang berbahaya. Dengan menggunakan intelijen ancaman yang dioptimalkan untuk platform DNS, ini menyediakan kontrol keamanan yang sangat skalabel dan meresap yang mudah diterapkan dan didasarkan pada standar DNS yang diakui di industri. Layanan Pusat Keamanan Siber Nasional Inggris, yang mirip dengan versi pemerintah AS yang dioperasikan oleh CISA PDNS, telah menjadi pilar inti dalam strategi keamanan siber pemerintah. Dengan inisiatif DNS4EU di Uni Eropa, penggunaan DNS Perlindungan telah menjadi praktik terbaik DNS yang diterima yang sudah diadopsi oleh tidak hanya pemerintah tetapi juga organisasi sektor publik dan swasta. Infoblox melakukan penilaian keamanan DNS dan lokakarya keamanan yang dapat membantu organisasi mengubah arsitektur DNS mereka menjadi platform penegakan keamanan siber yang tangguh.