Aktor ancaman telah mengeksploitasi vektor serangan yang dikenal sebagai Sitting Ducks setidaknya sejak tahun 2019 untuk melakukan pengiriman malware, phishing, peniruan merek, dan eksfiltrasi data dengan mengeksploitasi kelemahan dalam DNS.
Kelemahan yang tersebar luas ini, yang memengaruhi banyak penyedia DNS, memungkinkan pembajakan domain tanpa terdeteksi.
Selain itu, para peneliti dari Infoblox dan Eclypsium telah mengungkap kerentanan kritis ini dalam infrastruktur DNS.
Hasilnya, para peneliti menemukan bahwa hal itu memengaruhi sekitar satu juta domain, yang menyebabkan lebih dari 30.000 kasus pembajakan yang terkonfirmasi karena buruknya verifikasi domain oleh penyedia DNS.
Analisis Teknis
Penyebaran malware, peniruan merek, pencurian data, dan phishing, semuanya memanfaatkan celah dalam sistem keamanan ini.
Peneliti Infoblox yang berkolaborasi dengan Eclypsium bekerja sama dengan lembaga penegak hukum dan CERT nasional untuk memecahkan masalah keamanan kritis ini.
Serangan Sitting Ducks, yang dilaporkan pada tahun 2016 tetapi masih digunakan secara luas, menargetkan kelemahan keamanan infrastruktur DNS.
Metode ini memungkinkan peretas untuk mengambil alih domain tanpa meretas akun pemilik di pendaftar atau penyedia DNS.
Dengan memanfaatkan kesalahan konfigurasi dalam pendelegasian domain, terutama pendelegasian yang “lemah”, penyerang dapat merebut kendali domain dari penyedia DNS yang rentan.
.webp)
Teknik ini melampaui jenis pembajakan tradisional karena lebih efektif dan kurang terdeteksi karena memfasilitasi penyebaran malware dan pencurian data menggunakan domain yang tampak sah untuk phishing.
Ini adalah alat favorit bagi pelaku ancaman Rusia, yang diperkirakan memengaruhi lebih dari satu juta serangan setiap harinya di berbagai TLD.
Serangan ini sebagian besar belum terselesaikan karena tingkat keparahannya,
bahkan memasukkan perlindungan merek ke dalam domain terdaftar yang sulit dideteksi karena terlihat asli.
.webp)
Eksploitasi kerentanan DNS oleh Sitting Ducks melibatkan pembajakan domain tanpa memerlukan akses ke akun pemilik.
Ancaman yang dapat dicegah ini berasal dari kesenjangan pengelolaan domain dan rekaman DNS di seluruh industri.
Sejak 2018, lebih dari dua belas geng cyber yang terkait dengan Rusia telah mengeksploitasi metode ini untuk mengambil sedikitnya 35.000 nama domain.
Menurut laporanPara penyerang ini biasanya menganggap penyedia DNS yang lemah sebagai “perpustakaan peminjaman domain,” yang mana kontrol atas domain yang diambil alih dirotasi setiap 30-60 hari untuk menghindari deteksi.
Domain yang disusupi tersebut berfungsi sebagai platform untuk berbagai aktivitas jahat, seperti sistem distribusi lalu lintas (TDS) seperti VexTrio dan 404TDS, kampanye penyebaran malware, kampanye phishing, dan penipuan yang menargetkan banyak negara.
Kerentanan ini pertama kali ditemukan dan dilaporkan pada tahun 2016 namun belum pernah diperbaiki dengan benar yang menunjukkan betapa pentingnya tetapi sering diabaikannya keamanan Sistem Nama Domain (DNS) untuk penerapan keamanan siber.
Memitigasi situasi ini akan memerlukan upaya gabungan dari pemegang domain, pendaftar, penyedia DNS, badan regulasi, dan masyarakat luas yang terlibat dalam masalah keamanan siber.
Cara Membangun Kerangka Keamanan dengan Sumber Daya Terbatas Tim Keamanan TI (Bahasa Indonesia:) – Panduan Gratis
Rekomendasi
Di bawah ini kami sebutkan semua rekomendasinya: –
- Gunakan penyedia DNS resmi yang terpisah dari pendaftar domain Anda.
- Periksa delegasi server nama yang tidak valid.
- Konfirmasikan mitigasi penyedia DNS terhadap serangan Sitting Ducks.
- Gunakan layanan pemantauan Shadowserver untuk masalah domain.
- Untuk penyedia DNS, tetapkan host server nama acak untuk verifikasi.
- Pastikan nama server yang baru tidak sama dengan yang sebelumnya.
- Blokir modifikasi pada host server nama yang ditetapkan.