رکوردهای DNS آویزان هدفی برای بازیگران بد هستند، اما تشخیص تغییرات مخرب از منابع قانونی همیشه آسان نیست. تیم ATHENE از یافته های اصلی تحقیقات خود در مورد سوء استفاده از منابع شناور در ابر گزارش می دهد.
عملکرد مناسب منابع دیجیتال برای امنیت اینترنت بسیار مهم است. مدیریت منابع نه تنها به ایجاد و پیکربندی آنها نیاز دارد، بلکه مستلزم دفع صحیح آنها نیز زمانی است که دیگر مورد نیاز نیستند.
با این حال، در عمل، زمانی که سازمانها منابعی را از خدماتی که دیگر مورد نیاز نیستند، آزاد میکنند، اغلب زیرساختهایی را که برای آنها ساخته شده است پاکسازی نمیکنند. در مورد DNS این می تواند ایجاد کند سوابق DNS در انتظار.
در این مقاله، ما از مطالعه بلندمدت خود (بین سالهای 2020 تا 2023) درباره سوء استفاده از چنین منابع معلق گزارش میکنیم: در 12 پلتفرم ابری، 20904 هک را شناسایی کردیم که میزبان محتوای مخرب بودند. ما دامنه های ربوده شده را در 219 دامنه سطح بالا (TLD) و سوء استفاده های رایج ابری شناسایی کردیم.
سوابق DNS معلق
مفهوم ورودی های آویزان مربوط به نشانگرهای آویزان در برنامه نویسی است که زمانی رخ می دهد که حافظه یک متغیر آزاد شود. به همین ترتیب، هنگامی که صاحبان دامنه فراموش می کنند سوابق را پاک کنند، سوابق DNS معلق می شوند. به عنوان مثال: صاحب دامنه نقشه برداری را حذف نمی کند example.com A 192.0.2.0/24
خدمات example.com
به آدرس IP ابری 192.0.2.0/24
از سرور DNS معتبر پس از منبع 192.0.2.0/24
تعلیق و آزاد می شود.
یکی از مشکلات این است که دشمنانی که موفق به ثبت مجدد منابع آزاد شده توسط رکورد DNS موجود می شوند، می توانند حملاتی را علیه مشتریانی که سعی در دسترسی به دامنه را دارند انجام دهند.
بنابراین، در مثال ما، اگر حریف بتواند کنترل را به دست بگیرد 192.0.2.0/24
می تواند محتوای میزبانی شده تحت همه نام های DNS را که دارای سوابق مربوط به آن آدرس IP هستند، کنترل کند، زیرا همه درخواست ها به example.com
برای دشمن فرستاده می شوند.
جمع آوری سوابق DNS در انتظار آسان است، در حالی که تشخیص سوء استفاده در زندگی واقعی دشوار است
برای یافتن منابع معلق، دشمن باید نام دامنه را جمع آوری کند (مثلاً از طریق DNS غیرفعال یا شفافیت گواهی) و بررسی کند که کدام نام دامنه هاست ابری است. سپس حریف باید نام میزبان هایی را که قابل دسترسی نیستند شناسایی کند و آنها را از طریق یک حساب کاربری در ارائه دهنده ابر ثبت مجدد کند. تمام ترافیک منابعی که حریف با موفقیت ثبت میکند، از طریق رکورد DNS که قبلاً مجدداً فعال شده است، برای دشمن ارسال میشود. شناسایی این تغییرات کنترل منابع مخرب دشوار است.
چالش اصلی در تشخیص سوء استفاده در زندگی واقعی، شناسایی تغییرات مخرب در مقابل مشروع در منابع است. منابع ربوده شده اغلب قابل توجه نیستند و حتی دارای گواهینامه های معتبر هستند. رویکردهایی که به دنبال تغییرات زیرساخت یا محتوا هستند، کار نمی کنند زیرا تغییرات اغلب مشروع هستند و نه تنها در منابع مورد سوء استفاده، بلکه در منابع قانونی نیز رخ می دهند. علاوه بر این، حجم گسترده داده ها و فقدان شاخص های شناخته شده، تشخیص سوء استفاده را معادل جستجوی سوزن در انبار کاه می کند.
شاید به دلیل این نوع چالشها، اگرچه مطالعاتی درباره سوابق معلق انجام شده است، ما هیچ مطالعه طولی در مورد سوء استفاده از سوابق معلق واقعی قبل از خودمان نمیدانیم. در تحقیق ما، متوجه شدیم که کلید تشخیص سوء استفاده در زندگی واقعی، ترکیبی از تجزیه و تحلیل داده های طولی از منابع متعدد با خوشه بندی شباهت تغییرات و استخراج دستی کلمات کلیدی است. با استفاده از این رویکرد، ما شاخص هایی را استخراج کردیم که تشخیص هواپیماربایی در زندگی واقعی را امکان پذیر کرد.
چندین بینش جدید وجود دارد که ما از تحقیقات خود به دست آورده ایم که در زیر به طور خلاصه آنها را توضیح می دهیم.
گرفتن آدرس های IP معمول نیست
یکی از بینشهای حاصل از تحقیق ما این است که نوع منبع مورد توجه اولیه در ربودن نیست، انتخاب منابع مهاجم انگیزه مالی دارد: مهاجمان منابع آویزان را هدف قرار میدهند که میتوان به راحتی و مقرون به صرفه آن را ربود. این الزامات برای آدرس های IP در پلتفرم های ابری اعمال نمی شود. آدرسهای IP معمولاً بهطور تصادفی از یک استخر بزرگ تخصیص داده میشوند و بنابراین فعالسازی مجدد به صورت هدفمند گرانتر است.
ما متوجه شدیم که مهاجمان منابع رایگانی را هدف قرار میدهند که (1) ارزان هستند و (2) میتوانند مستقیماً با ورودی متن آزاد تعیین شوند، در حالی که از منابعی که گران هستند و برای به دست آوردن آنها نیاز به تلاش دارند اجتناب میکنند، مانند تخصیص IP مبتنی بر قرعهکشی از مجموعهای از آدرس های IP
نحوه سوء استفاده دشمنان از سوابق ربوده شده در انتظار
ما دریافتیم که برخی از بازیگران طیف گسترده ای از حوزه های مختلف را در یک تلاش هماهنگ گرد هم می آورند. سپس آنها به طور همگن برای همان هدف ارسال ترافیک یا دستکاری رتبه بندی جستجو استفاده می شوند. دشمنان به دنبال به حداکثر رساندن تعداد دامنه های اجاره شده برای یک کمپین هستند. ما هیچ مدرکی مبنی بر تصاحب هدفمند دامنه های فردی پیدا نکردیم. مثلا به دلایل سیاسی
سوء استفاده اصلی (75٪) از منابع در انتظار ربوده شده، ایجاد ترافیک برای خدمات رقیب است. مهاجمان دامنههایی با شهرت ثابت را هدف قرار میدهند و از آن شهرت برای افزایش رتبهبندی محتوای مخرب خود در موتورهای جستجو استفاده میکنند و در نتیجه، نمایش صفحه برای محتوایی که کنترل میکنند ایجاد میکنند. محتوا بیشتر مربوط به قمار و سایر محتوای بزرگسالان است. ما شاهد توضیح احتمالی در اندازه جمعیت (چهارمین نفر در جهان) و غیرقانونی بودن قمار در اندونزی هستیم که منجر به گسترش قمار آنلاین و نیاز به تبلیغ آن از راه های غیرقانونی می شود.
هنگامی که آنها محتوا را کنترل می کنند، منابع درآمد یا تبلیغاتی هستند که مستقیماً در وب سایت های میزبانی شده در دامنه های ربوده شده نمایش داده می شوند یا ارجاع (کلیک کنید) به سایت دیگری که در آن مبلغ کمی برای هر نمایش صفحه، مبلغ بالاتری برای ثبت حساب و حتی بیشتر برای پول خرج شده مهاجمان از تکنیک های مختلفی برای ایجاد ترافیک (بیشتر با بهینه سازی موتور جستجوی Blackhat (SEO)) و افزایش نرخ کلیک به سایت هدفی که هزینه ترافیک را پرداخت می کند، استفاده می کنند.
دسته های دیگر سوء استفاده شامل توزیع بدافزار، سرقت کوکی ها و گواهی های تقلبی است. به طور کلی، متوجه میشویم که گروههای هکر با موفقیت به دامنهها در 31 درصد از شرکتهای Fortune 500 و 25.4 درصد از شرکتهای Global 500 حمله کردهاند، برخی از آنها برای مدت طولانی. بسیاری از سازمان های قربانی بیش از یک بار مورد سوء استفاده قرار گرفتند، حتی یکی از آنها در بیش از 100 زیر دامنه مختلف سوء استفاده را تجربه کرد.
ما متوجه شده ایم که تعداد زیادی از نام های دامنه مورد سوء استفاده در عرض 15 روز حذف می شوند. در همان زمان، بیش از از دامنه ها بیش از 65 روز دوام می آورند، برخی بیش از یک سال. این به دشمنان زمان میدهد تا با بهرهبرداری از شهرت دامنههای مورد سوء استفاده از محتوا کسب درآمد کنند. ما متوجه شدیم که هک کردن در گروههایی از دامنهها به طور همزمان اتفاق میافتد. با تجزیه و تحلیل مجموعه دادههای ما، شاهد یک دوره اولیه ربایش در سال 2020 بودیم، پس از آن دوره عدم فعالیت نسبی در اوایل سال 2021 و در نهایت افزایش فعالیت در اواخر سالهای 2021، 2022 و 2023 مشاهده شد. تعداد دامنههای ربوده شده همزمان به طور پیوسته افزایش یافته است. در طول دوره مطالعه ما، نشان دهنده یک مشکل رو به رشد است.
توصیه های کاهش
ما توصیه میکنیم که پلتفرمهای ابری یا از نمایش نامهای منابع ایجاد شده توسط کاربر به صورت عمومی جلوگیری کنند (مثلاً از طریق رکوردهای DNS) و/یا ثبت نام مجدد نامهای منابع اخیراً منتشر شده را ممنوع کنند. ما همچنین پاک کردن سوابق DNS قدیمی را توصیه می کنیم. علاوه بر این، پلتفرمهای ابری باید منابع منتشر شده را با استفاده از روششناسی ما نظارت کنند و به صاحبان دامنه ثبتشده محتوا یا تغییرات نقشه سایت هشدار دهند. همانطور که مشاهده میکنیم که مهاجمان گواهیهایی را برای دامنههای ربوده شده صادر میکنند، توصیه میکنیم که ارائهدهندگان ابر همچنین گزارشهای CT را برای الگوهای غیرعادی در دامنههای میزبانی شده بر روی پلتفرمهایشان نظارت کنند تا به شناسایی کمپینهای سوءاستفاده در مقیاس بزرگ کمک کنند.
در تحقیق خود، ما بر منابع موجود در پلتفرمهای ابری تمرکز کردیم، با این حال، نتایج ما میتواند برای شناسایی سوء استفادهها در سایر سرویسهای شخص ثالث مورد استفاده قرار گیرد. به عنوان مثال، در حالی که سیستم های مدیریت محتوا (CMS) مانند وردپرس در مجموعه داده های ما گنجانده نشده است، ما انتظار داریم تعداد زیادی از ربایش [freetext].wordpress.com
زیر دامنه ها، همانطور که وردپرس همچنین ثبت زیر دامنه متن آزاد را برای وبلاگ های خود پیاده سازی می کند.
این مقاله بر اساس یک مقاله تحقیقاتی است که برای انتشار در بیست و یکمین سمپوزیوم USENIX در زمینه طراحی و پیاده سازی سیستم های شبکه (NSDI) پذیرفته شده است. جنز فرایز، توبیاس گاترمیر، نتانل گلرنتر، هایا شولمن و مایکل ویدنر، «ابر با احتمال حملات سایبری: سوء استفاده از منابع معلق در پلتفرمهای ابری»