$20 и просроченный домен могут подорвать доверие к данным WhoIs

$20 и просроченный домен могут подорвать доверие к данным WhoIs

$20 и просроченный домен могут подорвать доверие к данным WhoIs

Перерегистрация домена, в котором ранее работал авторитативный сервер WhoIs для TLD-зоны .mobi, позволила ИБ-экспертам создать фейк, открыв возможность для отслеживания имейл-обмена, подделки SSL-сертификатов, выполнения кодов на тысячах хостов.

Обнаружив, что срок действия домена dotmobilregistry[.]net истек и никто его не возобновил, исследователи из ИБ-компании watchTowr купили имя за $20 и в конце прошлого месяца подняли свой WhoIs-сервер. Оригинал к тому времени был перенесен в домен whois.nic.mobi.

К удивлению экспериментаторов, их фальшивка за пять дней получила около 2,5 млн запросов от 135 тыс. уникальных систем — регистраторов доменов (GoDaddy.com, Domain.com, Name.com), ИБ-сервисов (VirusTotal, URLScan; инструменты Group-IB), госструктур, образовательных учреждений, УЦ, а также сайтов WhoIs (who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, webchart.or).

Почтовые серверы и антиспам-службы подавали запросы при получении писем из домена .mobi, и подмена WhoIs-сервера позволяла следить за имейл-коммуникациями, пассивно определяя участников.

Многие клиенты и сервисы WhoIs содержали уязвимости, позволяющие удаленно выполнить вредоносный код на хосте – источнике запроса. Их эксплойт считается маловероятным, так как подобной информацией может воспользоваться лишь WhoIs-сервер, которому принято доверять.

Исследователи также наполнили свою базу WhoIs мусорными данными, соответствующими всем реальным адресам .mobi. Имейл админов сайтов и другие поля привязали к домену watchtowr.com и добавили псевдографику. Поддельная WhoIs-запись для google.mobi, к примеру, выглядела следующим образом:

 

Подмена WhoIs-сервера также позволила совершить попытку получить из GlobalSign сертификат SSL для домена microsoft.mobi, подтвердив права на него с помощью подставного адреса @watchtowr.com. Дело в том, что GlobalSign, как и многие другие УЦ, автоматизировал процесс выдачи SSL-сертификатов.

Для верификации заявителю на указанный в WhoIs админ-адрес направляется письмо со ссылкой. Клик по ней служит сигналом, что заявка одобрена, однако на этом этапе эксперимент был прерван — по этическим соображениям.

Возможность потенциально опасной подставы, по словам экспертов, возникла из-за того, что средства обнаружения авторитативных серверов WhoIs безнадежно устарели. Единственным действенным методом является просмотр текстовых списков хостнеймов для каждого TLD, которые публикует IANA, однако WhoIs-инструменты почти никогда туда не заглядывают. Нужные адреса просто приписываются в коде: ведь они редко меняются.

Авторы исследования ведут переговоры с американским Центром контрразведки и безопасности (NCSC) и НКО ShadowServer в отношении дальнейшей судьбы фейка. Он продолжает собирать многочисленные запросы, и кому-то надо ограждать уязвимые системы от возможных атак.

В комментарии для Ars Technica представитель GlobalSign заявил, что они запустили расследование. В Google проблему VirusTotal объяснили возможностью ложных срабатываний, уточнив, что сервис получает требуемые данные из базы новых доменов WhoisDS и от клиента Whois, встроенного в Linux.

Последний, по данным watchTowr, недавно переключился на корректный Whois-сервер для .mobi. Актуальна ли выявленная угроза для других TLD, неизвестно.

Сеть стала фундаментом бизнеса: главные темы «Сетевого лета 2026»

В Москве прошёл второй технический опен-эйр «Сетевое лето 2026». Мероприятие состоялось 2 июля в «Березы Парке» и собрало более 800 участников: сетевых инженеров, архитекторов, руководителей технических направлений и ИТ-директоров.

Главной темой стало то, как сегодня развиваются корпоративные и операторские сети в России. Участники обсуждали импортозамещение, Telco Cloud, SD-WAN, 5G, сетевую безопасность, тестирование оборудования и применение ИИ в работе инженеров.

На дискуссии об управлении ИТ в условиях изменений представители «Инфосистемы Джет», Yandex Infrastructure, Финтех-Платформы и АО «НСИС» отметили, что проблема импортозамещения не сводится к наличию отечественного оборудования. На практике компаниям приходится выбирать между большим числом решений, планировать миграцию и думать о дальнейшей поддержке инфраструктуры.

 

Отдельно говорили об ИИ. Участники сошлись в том, что бизнес готов вкладываться в такие проекты, если видит понятный и измеримый результат в обозримые сроки.

В блоке о Telco Cloud архитекторы МТС, Билайна и «Инфосистемы Джет» обсудили развитие операторских облаков и сетевых технологий. Тема 5G вызвала отдельную дискуссию: техническая готовность есть, но массовое внедрение зависит от регулирования и выделения частот. Для бизнеса особенно важен standalone 5G со слайсингом, который позволяет выделять отдельные сегменты сети под разные задачи.

 

В инженерном треке разобрали RoCEv2, кластеризацию NGFW, PoE, мультивендорные NMS, адаптацию сети под приложения и особенности отечественных коммутаторов. На мастер-классах участники настраивали маршрутизаторы EcoRouter, тестировали RA VPN в PT NGFW, работали с RoCEv2 и разворачивали IP-фабрику Eltex.

 

Отдельный практический блок был посвящён ИИ-ассистенту для сетевых инженеров: на стенде проверяли, как он анализирует конфигурационные файлы, строит схему сети и ищет уязвимости.

Также на площадке работала демо-зона с российским сетевым оборудованием и лаборатория с практическими заданиями по настройке инфраструктуры разных вендоров.

RSS: Новости на портале Anti-Malware.ru