Злоумышленник нашел новый способ обхода защиты от фишинга: манипулирование TLD .arpa и туннелированием IPv6 в IPv4 для размещения фишингового контента на доменах, которые не должны разрешаться в IP-адрес. Домен .arpa предназначен только для инфраструктуры интернета. — csoonline.com
Злоумышленник обнаружил новый способ обхода средств защиты от фишинга: манипулирование доменом верхнего уровня (TLD) .arpa и туннелированием IPv6 в IPv4 для размещения фишингового контента на доменах, которые не должны разрешаться в IP-адрес.
Для непосвященных домен .arpa — это домен зоны параметров адресации и маршрутизации (Address and Routing Parameter Area), предназначенный исключительно для целей интернет-инфраструктуры. В основном он используется для сопоставления IP-адресов с доменами, предоставляя обратные записи.
Однако, согласно отчету Infoblox, злоумышленник обнаружил особенность в управлении записями DNS у как минимум одного провайдера, которая позволяет ему вместо добавления ожидаемых записей PTR создавать записи A для обратных DNS-имен.
«Дальше, — заявляет Infoblox, — они могут делать все, что угодно, у хостинг-провайдера. Это довольно хитрый трюк».
Infoblox впервые обнаружила этот трюк, когда он использовался против DNS-провайдера Hurricane Electric, базирующегося в США, и провайдера доставки контента CloudFlare. Компания также подтвердила, что некоторые другие провайдеры были скомпрометированы, и уведомила их о проблеме.
Эта тактика «определенно может обойти значительное количество систем безопасности», — сказал в интервью Дэйв Митчелл, старший директор по исследованиям угроз в Infoblox. «Я думаю, это определенно риск».
На данный момент Infoblox зафиксировала два типа спама, нацеленного на потребителей: одна группа выдает себя за крупные универмаги, сети супермаркетов и магазины товаров для дома, предлагая подарок за прохождение опроса. Другие приманки утверждают, что онлайн-сервис или подписка на антивирусное ПО жертвы прерваны, или что превышена квота облачного хранилища, и необходимо заплатить для восстановления услуги. Но Митчелл отметил, что нет причин, по которым эта тактика не могла бы использоваться для целевых фишинговых атак против бизнеса.
В примерах, виденных Infoblox, когда жертва нажимает на рекламное изображение — которое скрывает встроенную гиперссылку — серия перенаправлений отправляет ее на вредоносную целевую страницу, где жертву просят ввести номер кредитной карты, который перехватывается хакером, якобы для оплаты доставки подарка.
«Злоупотребление TLD .arpa является новым, поскольку оно использует инфраструктуру, которой негласно доверяют и которая необходима для сетевых операций», — говорится в отчете Infoblox. «Используя домены обратного DNS IPv6 в качестве вредоносных ссылок, злоумышленник обнаружил механизм доставки, который обходит средства безопасности».
«Воздействие немедленное, и его нельзя переоценить», — добавляет отчет. «Безопасность, зависящая от обнаружения подозрительных доменов с использованием таких методов, как репутация, информация о регистрации и списки блокировки политик, неэффективна для этих доменов. Эти домены имеют негласно чистую репутацию, не имеют информации о регистрации и обычно не блокируются политиками».
[Связанный контент: Плохая гигиена DNS приводит к угону доменов]
В примерах, обнаруженных Infoblox, злоумышленник получил адреса для туннелирования IPv6 в IPv4 от Hurricane Electric в рамках бесплатной услуги, предлагаемой провайдером. Клиентам услуги разрешается назначать DNS в выделенном пространстве DNS-провайдеру. Предполагается, что после этого ИТ-отдел или частное лицо использует это пространство для создания зоны DNS для сопоставления IP-адресов с именами — jones.com, smith.org и так далее. Но в этих атаках хакер обратился к серверам имен CloudFlare, добавил выделенные блоки IPv6 .arpa и вместо создания только записей обратного DNS создал записи прямого DNS, ведущие на вредоносные веб-сайты.
Эта тактика не обязательно сработает со всеми провайдерами из-за особенностей настройки их систем, отметил Митчелл. Например, при тестировании тактики на ряде других провайдеров Infoblox обнаружила, что некоторые не позволили ее исследователям заявить о владении доменом .arpa либо путем явного отклонения запроса, либо из-за сбоя запроса.
Советы для CISO и администраторов
Все провайдеры DNS и IPv6 должны гарантировать, что их услуги не используются таким образом, сказал Митчелл.
Провайдеры туннелей IPv6 должны проводить аудит клиентов, запрашивающих услугу, определяя, для чего используются получаемые ими адреса — что, по признанию Митчелла, может быть непросто. DNS-провайдеры должны убедиться, что они разрешают создание записи DNS только для надлежащих целей.
CISO, а также администраторы доменов и сетей должны знать, что даже при наличии защитных DNS или межсетевых экранов нового поколения домен .arpa всегда считается доверенным. Им необходимо понять, смогут ли их текущие средства контроля безопасности выявить злоупотребления. Правило межсетевого экрана, гласящее: «Покажи мне любой DNS-трафик, идущий на ‘IP6.arpa’», поможет, как и отслеживание того, куда идет веб-трафик по этой ссылке. Администраторы также должны проверить, помечают ли поставщики услуг безопасности электронной почты эти потоки внутри электронных сообщений.
Провайдеры шлюзов должны искать и помещать в карантин длинные строки, оканчивающиеся на .ip6.arpa, которые встроены в изображения или HTTP-ссылки, добавил Митчелл.
Корпоративные сети уже должны использовать мониторинг DNS в качестве основного ресурса для обнаружения и защиты сети, сказал Йоханнес Уллрих, декан по исследованиям в SANS Institute. Это должно позволить легко оповещать о подозрительных записях и, возможно, блокировать их, отметил он.
Он указал, что запросы “.arpa” обычно являются запросами указателя (PTR) для обратных просмотров. В вредоносных запросах будут использоваться обычные запросы адреса (A или AAAA). Имя хоста также будет нетипичным. Нормальное имя хоста in-addr.arpa имеет очень специфический формат: IP-адрес с последующим суффиксом in-addr.arpa. Все, что имеет этот суффикс и не соответствует формату, должно быть заблокировано или, по крайней мере, о нем должно быть отправлено оповещение, сказал он.
«Это блестящий, старомодный ход, направленный на поиск уязвимостей в сложности эволюции интернета», — сказал Дэвид Шипли, руководитель канадского провайдера услуг обучения кибербезопасности Beauceron Security. «Понять, как объединить новейшую часть веба, IPV6, с самой старой, Arpanet, можно считать одним из самых интересных взломов на данный момент».
«Тот факт, что они использовались для довольно примитивного мошеннического фишинга, вероятно, является результатом того, что кто-то недавно освоил этот трюк, но я полагаю, что он гораздо дольше использовался гораздо более изощренными группами для более целенаправленных атак. Подобные умные взломы — отличное доказательство, которое стоит иметь в виду в следующий раз, когда продавец заявит, что блокирует 99,9% фишинга», — добавил он.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon