DNS-атаки Sitting Ducks позволили захватить более 35 тыс. доменов
Главная » Новости

DNS-атаки Sitting Ducks позволили захватить более 35 тыс. доменов

Екатерина Быстрова 02 Августа 2024 - 10:25
...
DNS-атаки Sitting Ducks позволили захватить более 35 тыс. доменов

Киберпреступникам удалось получить контроль более чем над 35 тыс. зарегистрированных доменов, используя вектор DNS-атаки под названием «Sitting Ducks». Суть заключается в эксплуатации ошибок конфигурации на уровне регистратора и недостаточной проверке владельца со стороны провайдера.

На Sitting Ducks обратили внимание специалисты компаний Infoblox и Eclypsium. По их словам, в Сети удалось обнаружить более миллиона доменов, уязвимых перед этим вектором атаки.

Исследователи считают, что за эксплуатацией Sitting Ducks стоит «множество российских киберпреступных групп», которые используют взломанные домены для рассылки спама и в фишинговых кампаниях.

Интересно, что Sitting Ducks описывался ещё в 2016 году Мэтью Брайантом из Snap. Тем не менее вектор продолжает работать, однако для успешной атаки нужен ряд условий:

  • целевой домен должен использовать или делегировать службы DNS провайдеру, который при этом не является регистратором;
  • сервер имён не может разрешать запросы, поскольку ему не хватает информации о домене (некорректное делегирование);
  • DNS-провайдер должен разрешить заявку на домен без надлежащего подтверждения права собственности или требований доступа к аккаунту владельца.

 

Как объясняют в Infoblox, атакующие могут задействовать Sitting Ducks для захвата доменов, использующих DNS-службы, например, от хостера. Для начала злоумышленнику надо будет создать учётную запись в системе DNS-провайдера, а потом заявить свои права на домен.

После этого киберпреступник создаёт вредоносный веб-сайт и настраивает параметры DNS таким образом, чтобы IP резолвился на поддельный адрес. У законного владельца при этом не будет возможности поменять DNS-записи.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Как бизнесу реагировать на ИБ-инциденты: советы Даниила Бориславского
Екатерина Быстрова 15 Августа 2025 - 16:48
Малый и средний бизнесКорпорации
Как бизнесу реагировать на ИБ-инциденты: советы Даниила Бориславского

На онлайн-конференции «ИБ без фильтров» 14 августа обсудили действия бизнеса по реагированию на инциденты информационной безопасности. Один из главных тезисов выступлений — компании должны быть готовы к кибератакам, которые рано или поздно произойдут. 

Даниил Бориславский, директор по продукту Staffcop направления инфобезопасности Контур.Эгида, отметил что службы информационной безопасности должны ориентироваться на то, что в критической ситуации они покажут наихудший возможный результат. Поэтому еще до инцидентов должны быть определены меры «скорой помощи» и оперативный штаб, который будет их принимать. 

Даниил Бориславский, директор по продукту Staffcop направления информационной безопасности Контур.Эгида:

«Когда инцидент произошел, важно реагировать быстро. Сообщите CISO и CEO об инциденте и начале работы по инциденту. Попытайтесь изолировать скомпрометированные сегменты сети. Оцените предварительный ущерб, соберите оперативный штаб. И предупредите родных, что задержитесь на работе».

 

Оперативный штаб должен решать несколько задач: восстанавливать работу систем, искать и расследовать причины инцидента, информировать регуляторов и работать с общественной реакцией. Важно синхронизировать свои действия каждые 8 часов, но можно и чаще. И важно не делать все сразу, а соблюдать последовательность действий. Например, не стоит восстанавливать все из бэкапов, не сегментировав сеть. 

Помимо оперативного штаба компании нужны еще как минимум три команды, о которых подробнее можно узнать, изучив запись конференции «ИБ без фильтров».

 

Чтобы быть готовыми к атакам, важно их репетировать. Например, можно выделить отдельный день под учения, заготовить план атаки, раздать конверты, включить таймер и начать действие. После «игры» проведите анализ, чтобы обнаружить слабые места и составить план действий после учений. 

Конференция «ИБ без фильтров» собрала на одной площадке представителей ИБ-рынка, которые обсудили кейсы, связанные с профилактикой и предотвращением инцидентов, организацией ИБ-отдела, вовлечением всех сотрудников в построение культуры безопасности. Зрителями конференции в день проведения стали почти 700 человек.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Silent Crow взяла ответственность за атаку на Аэрофлот
Новость
Silent Crow взяла ответственность за атаку на Аэрофлот
Telegram начал блокировать каналы, собирающие личные данные
Новость
Telegram начал блокировать каналы, собирающие личные данные
Вышла новая версия Aladdin Enterprise CA с поддержкой ECDSA и ГОСТ
Новость
Вышла новая версия Aladdin Enterprise CA с поддержкой ECDSA...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.