Para peneliti dari Infoblox dan Eclypsium telah mengungkap bahwa vektor serangan yang kuat dalam sistem nama domain (DNS) sedang banyak dieksploitasi oleh berbagai penyedia DNS. Kami menemukan bahwa lebih dari selusin aktor kriminal siber yang terkait dengan Rusia menggunakan vektor serangan ini untuk membajak nama domain tanpa terdeteksi. Kami menyebut serangan ini sebagai “Sitting Ducks”. Setiap hari, terdapat lebih dari satu juta domain yang dapat dieksploitasi, dan serangan ini: – Mudah dilakukan – Hampir tidak terlihat – Sulit dideteksi – Sepenuhnya dapat dicegah Dalam serangan Sitting Ducks, pelaku membajak domain yang sudah terdaftar pada penyedia DNS atau penyedia layanan hosting web tanpa mengakses akun pemilik sah di penyedia DNS atau registrar. Setelah menguasai domain tersebut, pelaku dapat melakukan berbagai aktivitas jahat dengan menyamar sebagai pemilik yang sah, seperti menyebarkan malware, menjalankan kampanye phishing, melakukan pemalsuan merek, dan eksfiltrasi data. Domain yang dapat dieksploitasi tidaklah langka; kami memperkirakan ada lebih dari satu juta domain yang dapat dieksploitasi setiap hari, dan kami telah mengidentifikasi berbagai metode untuk mendeteksi domain yang rentan. Kami menemukan Sitting Ducks saat menyelidiki infrastruktur yang digunakan oleh sistem distribusi lalu lintas (TDS) yang dikenal sebagai 404TDS, sebuah TDS yang dihosting di Rusia dan pertama kali diidentifikasi oleh Proofpoint. Domain-domain yang digunakan untuk TDS ini jelas-jelas telah dibajak, tetapi banyaknya registrar dan pemilik domain yang terlibat menciptakan gambaran yang membingungkan. Itu semua sampai kami menemukan metode yang digunakan oleh pelaku ancaman. Awalnya, kami mengira vektor serangan ini belum dipublikasikan. Namun, kami baru mengetahui bahwa Matt Bryant sebelumnya telah menjelaskan vektor serangan ini di blog-nya, The Hacker Blog, pada Agustus dan Desember 2016. Dua tahun setelah advis awalnya, Sitting Ducks digunakan untuk membajak ribuan domain dalam serangkaian kampanye spam global yang mencakup ancaman bom dan pemerasan seksual. Delapan tahun setelah pertama kali dipublikasikan, vektor serangan ini masih belum dikenal luas dan belum terselesaikan. Sitting Ducks lebih mudah dilakukan, lebih mungkin berhasil, dan lebih sulit dideteksi dibandingkan dengan vektor serangan pembajakan domain lainnya yang sudah dikenal, seperti CNAME yang menggantung. Pada saat yang sama, Sitting Ducks digunakan secara luas untuk mengeksploitasi pengguna di seluruh dunia. Analisis kami menunjukkan bahwa penggunaan Sitting Ducks telah meningkat secara konsisten selama beberapa tahun dan belum dikenali secara memadai dalam industri keamanan. Inti dari serangan Sitting Ducks adalah konfigurasi yang salah pada registrar domain dan pencegahan yang tidak memadai di penyedia DNS, yang keduanya adalah masalah yang dapat diatasi. Ada beberapa varian dari serangan Sitting Ducks, dan semuanya tidak memerlukan pelaku untuk mendaftarkan domain mereka sendiri, menjadikannya berbeda secara mendasar dari serangan pembajakan DNS yang sering dibahas. Pelaku dapat menggunakan vektor serangan Sitting Ducks dalam kondisi dan variasi berikut: – Domain terdaftar atau subdomain dari domain terdaftar menggunakan atau mendelegasikan layanan DNS otoritatif kepada penyedia yang berbeda dari registrar domain; ini disebut delegasi. – Delegasi tersebut cacat, artinya server nama otoritatif dari catatan tidak memiliki informasi tentang domain dan tidak dapat menyelesaikan kueri. – Penyedia DNS otoritatif dapat dieksploitasi, artinya pelaku dapat “mengklaim” domain di penyedia dan mengatur catatan DNS tanpa mengakses akun pemilik sah di registrar domain. Variasi dalam serangan ini termasuk delegasi yang sebagian cacat dan redelegasi ke penyedia DNS lain. Gambar 1 menunjukkan kondisi untuk serangan dasar. Meskipun kondisi-kondisi ini mungkin tampak tidak biasa, kenyataannya tidak demikian. Banyak pelaku ancaman yang aktif mengeksploitasi vektor serangan ini, dan kami memperkirakan bahwa tingkat eksploitasi sebenarnya lebih besar daripada yang saat ini diketahui. Serangan Sitting Ducks memang relatif mudah dilakukan di banyak penyedia DNS dan layanan hosting web populer, namun beberapa penyedia tidak rentan terhadap serangan ini. Kami melakukan analisis berskala besar terhadap delegasi domain, mengevaluasi sekitar selusin penyedia DNS, dan menemukan bahwa serangan ini digunakan secara luas, terutama oleh pelaku siber dari Rusia. Setiap hari, ratusan domain dibajak, dan Infoblox terus memantau berbagai pelaku yang menggunakan serangan ini. Kami menemukan domain-domain yang dibajak dan rentan dieksploitasi di ratusan TLD. Domain-domain yang dibajak sering kali terdaftar dengan registrar perlindungan merek; banyak dari domain ini adalah domain yang mirip yang kemungkinan didaftarkan secara defensif oleh merek atau organisasi yang sah. Karena domain-domain ini memiliki reputasi yang sangat baik, penggunaan jahat terhadapnya sangat sulit untuk dideteksi. Gambar 2 menunjukkan skenario umum dari serangan Sitting Ducks. Dalam contoh ini: – Sebuah domain, brand[.]com, terdaftar dengan Registrar A oleh Brand Inc. – Pemilik domain, Brand Inc., menetapkan layanan DNS otoritatif dengan penyedia Auth DNS B, yang mungkin juga berfungsi sebagai penyedia layanan hosting web – Domain brand[.]com digunakan oleh Brand Inc. sebagai situs web – Setelah beberapa waktu, Brand Inc. tidak lagi aktif menggunakan domain brand[.]com, namun tetap memiliki domain tersebut melalui Registrar A – Layanan DNS otoritatif atau hosting web untuk brand[.]com dengan Auth DNS B kedaluwarsa – Pelaku membuat akun dengan penyedia Auth DNS B – Pelaku “mengklaim” domain brand[.]com – Pelaku membuat situs web palsu yang mengaku sebagai Brand Inc. dan mengkonfigurasi DNS di Auth DNS B untuk mengarahkan permintaan catatan IP ke alamat situs web palsu – Pelaku mengirim email phishing kepada korban dengan menyamar sebagai Brand Inc. – Korban terinfeksi malware – Pemilik domain yang sah, Brand Inc., mencoba mengkonfigurasi catatan DNS untuk brand[.]com di penyedia DNS Auth DNS B tetapi ditolak Berbeda dengan banyak jenis kejahatan siber lainnya, serangan Sitting Ducks dapat dicegah. Serangan ini muncul karena adanya celah dalam pengelolaan, pemeliharaan, dan otorisasi nama domain serta catatan DNS. Pencegahan memerlukan keterlibatan dari berbagai pihak: pemilik nama domain, registrar, penyedia DNS otoritatif, penyedia hosting web, badan standar, regulator pemerintah, dan komunitas keamanan siber. Rekomendasi untuk mengatasi masalah ini dapat ditemukan di akhir blog ini. Penemuan kami mengenai serangan Sitting Ducks didasarkan pada laporan dari Proofpoint, penelitian independen oleh Randy McEoin, dan kontribusi dari David Safley. Kami sangat menghargai berbagi informasi dan kolaborasi mereka. Kami memulai pemberitahuan pengungkapan etis segera setelah memvalidasi vektor serangan ini. Eksploitasi di Dunia Nyata Kami telah menemukan lebih dari selusin pelaku ancaman yang tampaknya berbeda yang melakukan serangan Sitting Ducks pada beberapa layanan DNS otoritatif yang rentan. Masing-masing pelaku ini memiliki keterkaitan dengan Rusia, dan ada argumen bahwa beberapa penyedia DNS telah menjadi “taman bermain” bagi penjahat siber Rusia…
