Pelaku ancaman telah membajak lebih dari 35.000 domain terdaftar dalam apa yang disebut serangan Sitting Ducks yang memungkinkan klaim domain tanpa memiliki akses ke akun pemilik di penyedia DNS atau pendaftar.
Dalam serangan Sitting Ducks, penjahat dunia maya mengeksploitasi kekurangan konfigurasi pada tingkat pendaftar dan verifikasi kepemilikan yang tidak memadai pada penyedia DNS.
Para peneliti di vendor keamanan yang berfokus pada DNS, Infoblox, dan di perusahaan perlindungan firmware dan perangkat keras Eclypsium menemukan bahwa ada lebih dari satu juta domain yang dapat dibajak setiap hari melalui serangan Sitting Ducks.
Beberapa kelompok penjahat dunia maya Rusia telah menggunakan vektor serangan ini selama bertahun-tahun dan memanfaatkan domain yang dibajak dalam kampanye spam, penipuan, pengiriman malware, phishing, dan eksfiltrasi data.
Detail Bebek Duduk
Meskipun permasalahan yang membuat Sitting Ducks menjadi mungkin pertama kali didokumentasikan pada tahun 2016[[1Bahasa Indonesia: 2]oleh Matthew Bryantseorang insinyur keamanan di Snap, vektor serangan terus menjadi cara yang lebih mudah untuk membajak domain daripada metode lain yang lebih dikenal.
Agar serangan dapat terjadi, diperlukan kondisi berikut:
– domain terdaftar menggunakan atau mendelegasikan layanan DNS yang berwenang ke penyedia selain pendaftar
– server nama yang berwenang dari rekaman tersebut tidak dapat menyelesaikan pertanyaan karena tidak memiliki info tentang domain (delegasi yang tidak tepat)
– penyedia DNS perlu mengizinkan klaim domain tanpa memverifikasi kepemilikan dengan benar atau memerlukan akses ke akun pemilik
Variasi serangan tersebut meliputi pendelegasian yang sebagian tidak sempurna (tidak semua server nama dikonfigurasi dengan benar) dan pendelegasian ulang ke penyedia DNS lain. Namun, jika pendelegasian yang tidak sempurna dan kondisi penyedia yang dapat dieksploitasi terpenuhi, domain dapat dibajak.
Sumber: Infoblox
InfoBlok menjelaskan bahwa penyerang dapat menggunakan metode Sitting Ducks pada domain yang menggunakan layanan DNS resmi dari penyedia yang berbeda dari pendaftar, seperti layanan hosting web.
Jika DNS resmi atau layanan hosting web untuk domain target kedaluwarsa, penyerang dapat dengan mudah mengklaimnya setelah membuat akun dengan penyedia layanan DNS.
Pelaku ancaman kini dapat membuat situs web berbahaya di bawah domain dan mengonfigurasi pengaturan DNS untuk menyelesaikan permintaan rekaman alamat IP ke alamat palsu; dan pemilik sah tidak akan dapat mengubah rekaman DNS.
Sumber: Infoblox
Serangan di alam liar
InfoBlok Dan Gerhana melaporkan bahwa mereka telah mengamati banyak aktor ancaman yang mengeksploitasi vektor serangan Sitting Ducks (atau Ducks Now Sitting – DNS) sejak tahun 2018 dan 2019.
Sejak saat itu, setidaknya ada 35.000 kasus pembajakan domain yang menggunakan metode ini. Biasanya, penjahat dunia maya menguasai domain tersebut dalam waktu singkat, tetapi ada beberapa kasus yang dapat bertahan hingga satu tahun.
Ada pula kejadian di mana domain yang sama dibajak oleh beberapa aktor ancaman secara berturut-turut, yang menggunakannya dalam operasi mereka selama satu hingga dua bulan dan kemudian menyebarkannya.
GoDaddy dipastikan menjadi korban serangan Sitting Ducks, tetapi peneliti mengatakan ada enam penyedia DNS yang saat ini rentan.
Kelompok aktivitas yang diamati yang memanfaatkan Sitting Ducks dirangkum sebagai berikut:
- “Beruang Spammy” – Membajak domain GoDaddy pada akhir tahun 2018 untuk digunakan dalam kampanye spam.
- “Viper Kosong” – Mulai menggunakan Sitting Ducks pada bulan Desember 2019, dan membajak 2.500 setiap tahunnya sejak saat itu, digunakan dalam sistem 404TDS yang mendistribusikan IcedID, dan menyiapkan domain perintah dan kontrol (C2) untuk malware.
- “Ular berbisa VexTrio“ – Mulai menggunakan Sitting Ducks pada awal tahun 2020 untuk memanfaatkan domain dalam sistem distribusi lalu lintas massal (TDS) yang memfasilitasi operasi SocGholish dan ClearFake.
- Aktor yang tidak disebutkan namanya – Beberapa aktor ancaman yang lebih kecil dan tidak dikenal yang membuat jaringan TDS, distribusi spam, dan phishing.
Tips pertahanan
Pemilik domain harus secara berkala meninjau konfigurasi DNS mereka untuk pendelegasian yang tidak tepat, terutama pada domain lama, dan memperbarui catatan pendelegasian di pendaftar atau server nama yang berwenang dengan layanan DNS yang tepat dan aktif.
Pendaftar disarankan untuk melakukan pemeriksaan proaktif terhadap delegasi yang tidak sah dan memberi tahu pemilik. Mereka juga harus memastikan bahwa layanan DNS telah ditetapkan sebelum menyebarkan delegasi server nama.
Pada akhirnya, regulator dan badan standar harus mengembangkan strategi jangka panjang untuk mengatasi kerentanan DNS dan menekan penyedia DNS di bawah yurisdiksi mereka untuk mengambil tindakan lebih lanjut guna mengurangi serangan Sitting Ducks.
