ابر با احتمال حملات سایبری – سوء استفاده از منابع معلق در سیستم عامل های ابری

عملکرد مناسب منابع دیجیتال برای امنیت اینترنت بسیار مهم است. مدیریت منابع نه تنها به ایجاد و پیکربندی آنها نیاز دارد، بلکه مستلزم دفع صحیح آنها نیز زمانی است که دیگر مورد نیاز نیستند.

با این حال، در عمل، زمانی که سازمان‌ها منابعی را از خدماتی که دیگر مورد نیاز نیستند، آزاد می‌کنند، اغلب زیرساخت‌هایی را که برای آنها ساخته شده است پاکسازی نمی‌کنند. در مورد DNS این می تواند ایجاد کند سوابق DNS در انتظار.

در این مقاله، ما از مطالعه بلندمدت خود (بین سال‌های 2020 تا 2023) درباره سوء استفاده از چنین منابع معلق گزارش می‌کنیم: در 12 پلتفرم ابری، 20904 هک را شناسایی کردیم که میزبان محتوای مخرب بودند. ما دامنه های ربوده شده را در 219 دامنه سطح بالا (TLD) و سوء استفاده های رایج ابری شناسایی کردیم.

سوابق DNS معلق

مفهوم ورودی های آویزان مربوط به نشانگرهای آویزان در برنامه نویسی است که زمانی رخ می دهد که حافظه یک متغیر آزاد شود. به همین ترتیب، هنگامی که صاحبان دامنه فراموش می کنند سوابق را پاک کنند، سوابق DNS معلق می شوند. به عنوان مثال: صاحب دامنه نقشه برداری را حذف نمی کند example.com A 192.0.2.0/24 خدمات example.com به آدرس IP ابری 192.0.2.0/24 از سرور DNS معتبر پس از منبع 192.0.2.0/24 تعلیق و آزاد می شود.

یکی از مشکلات این است که دشمنانی که موفق به ثبت مجدد منابع آزاد شده توسط رکورد DNS موجود می شوند، می توانند حملاتی را علیه مشتریانی که سعی در دسترسی به دامنه را دارند انجام دهند.

بنابراین، در مثال ما، اگر حریف بتواند کنترل را به دست بگیرد 192.0.2.0/24 می تواند محتوای میزبانی شده تحت همه نام های DNS را که دارای سوابق مربوط به آن آدرس IP هستند، کنترل کند، زیرا همه درخواست ها به example.com برای دشمن فرستاده می شوند.

جمع آوری سوابق DNS در انتظار آسان است، در حالی که تشخیص سوء استفاده در زندگی واقعی دشوار است

برای یافتن منابع معلق، دشمن باید نام دامنه را جمع آوری کند (مثلاً از طریق DNS غیرفعال یا شفافیت گواهی) و بررسی کند که کدام نام دامنه هاست ابری است. سپس حریف باید نام میزبان هایی را که قابل دسترسی نیستند شناسایی کند و آنها را از طریق یک حساب کاربری در ارائه دهنده ابر ثبت مجدد کند. تمام ترافیک منابعی که حریف با موفقیت ثبت می‌کند، از طریق رکورد DNS که قبلاً مجدداً فعال شده است، برای دشمن ارسال می‌شود. شناسایی این تغییرات کنترل منابع مخرب دشوار است.

چالش اصلی در تشخیص سوء استفاده در زندگی واقعی، شناسایی تغییرات مخرب در مقابل مشروع در منابع است. منابع ربوده شده اغلب قابل توجه نیستند و حتی دارای گواهینامه های معتبر هستند. رویکردهایی که به دنبال تغییرات زیرساخت یا محتوا هستند، کار نمی کنند زیرا تغییرات اغلب مشروع هستند و نه تنها در منابع مورد سوء استفاده، بلکه در منابع قانونی نیز رخ می دهند. علاوه بر این، حجم گسترده داده ها و فقدان شاخص های شناخته شده، تشخیص سوء استفاده را معادل جستجوی سوزن در انبار کاه می کند.

شاید به دلیل این نوع چالش‌ها، اگرچه مطالعاتی درباره سوابق معلق انجام شده است، ما هیچ مطالعه طولی در مورد سوء استفاده از سوابق معلق واقعی قبل از خودمان نمی‌دانیم. در تحقیق ما، متوجه شدیم که کلید تشخیص سوء استفاده در زندگی واقعی، ترکیبی از تجزیه و تحلیل داده های طولی از منابع متعدد با خوشه بندی شباهت تغییرات و استخراج دستی کلمات کلیدی است. با استفاده از این رویکرد، ما شاخص هایی را استخراج کردیم که تشخیص هواپیماربایی در زندگی واقعی را امکان پذیر کرد.

چندین بینش جدید وجود دارد که ما از تحقیقات خود به دست آورده ایم که در زیر به طور خلاصه آنها را توضیح می دهیم.

گرفتن آدرس های IP معمول نیست

یکی از بینش‌های حاصل از تحقیق ما این است که نوع منبع مورد توجه اولیه در ربودن نیست، انتخاب منابع مهاجم انگیزه مالی دارد: مهاجمان منابع آویزان را هدف قرار می‌دهند که می‌توان به راحتی و مقرون به صرفه آن را ربود. این الزامات برای آدرس های IP در پلتفرم های ابری اعمال نمی شود. آدرس‌های IP معمولاً به‌طور تصادفی از یک استخر بزرگ تخصیص داده می‌شوند و بنابراین فعال‌سازی مجدد به صورت هدفمند گران‌تر است.

ما متوجه شدیم که مهاجمان منابع رایگانی را هدف قرار می‌دهند که (1) ارزان هستند و (2) می‌توانند مستقیماً با ورودی متن آزاد تعیین شوند، در حالی که از منابعی که گران هستند و برای به دست آوردن آنها نیاز به تلاش دارند اجتناب می‌کنند، مانند تخصیص IP مبتنی بر قرعه‌کشی از مجموعه‌ای از آدرس های IP

نحوه سوء استفاده دشمنان از سوابق ربوده شده در انتظار

ما دریافتیم که برخی از بازیگران طیف گسترده ای از حوزه های مختلف را در یک تلاش هماهنگ گرد هم می آورند. سپس آنها به طور همگن برای همان هدف ارسال ترافیک یا دستکاری رتبه بندی جستجو استفاده می شوند. دشمنان به دنبال به حداکثر رساندن تعداد دامنه های اجاره شده برای یک کمپین هستند. ما هیچ مدرکی مبنی بر تصاحب هدفمند دامنه های فردی پیدا نکردیم. مثلا به دلایل سیاسی

سوء استفاده اصلی (75٪) از منابع در انتظار ربوده شده، ایجاد ترافیک برای خدمات رقیب است. مهاجمان دامنه‌هایی با شهرت ثابت را هدف قرار می‌دهند و از آن شهرت برای افزایش رتبه‌بندی محتوای مخرب خود در موتورهای جستجو استفاده می‌کنند و در نتیجه، نمایش صفحه برای محتوایی که کنترل می‌کنند ایجاد می‌کنند. محتوا بیشتر مربوط به قمار و سایر محتوای بزرگسالان است. ما شاهد توضیح احتمالی در اندازه جمعیت (چهارمین نفر در جهان) و غیرقانونی بودن قمار در اندونزی هستیم که منجر به گسترش قمار آنلاین و نیاز به تبلیغ آن از راه های غیرقانونی می شود.

هنگامی که آنها محتوا را کنترل می کنند، منابع درآمد یا تبلیغاتی هستند که مستقیماً در وب سایت های میزبانی شده در دامنه های ربوده شده نمایش داده می شوند یا ارجاع (کلیک کنید) به سایت دیگری که در آن مبلغ کمی برای هر نمایش صفحه، مبلغ بالاتری برای ثبت حساب و حتی بیشتر برای پول خرج شده مهاجمان از تکنیک های مختلفی برای ایجاد ترافیک (بیشتر با بهینه سازی موتور جستجوی Blackhat (SEO)) و افزایش نرخ کلیک به سایت هدفی که هزینه ترافیک را پرداخت می کند، استفاده می کنند.

دسته های دیگر سوء استفاده شامل توزیع بدافزار، سرقت کوکی ها و گواهی های تقلبی است. به طور کلی، متوجه می‌شویم که گروه‌های هکر با موفقیت به دامنه‌ها در 31 درصد از شرکت‌های Fortune 500 و 25.4 درصد از شرکت‌های Global 500 حمله کرده‌اند، برخی از آنها برای مدت طولانی. بسیاری از سازمان های قربانی بیش از یک بار مورد سوء استفاده قرار گرفتند، حتی یکی از آنها در بیش از 100 زیر دامنه مختلف سوء استفاده را تجربه کرد.

ما متوجه شده ایم که تعداد زیادی از نام های دامنه مورد سوء استفاده در عرض 15 روز حذف می شوند. در همان زمان، بیش از از دامنه ها بیش از 65 روز دوام می آورند، برخی بیش از یک سال. این به دشمنان زمان می‌دهد تا با بهره‌برداری از شهرت دامنه‌های مورد سوء استفاده از محتوا کسب درآمد کنند. ما متوجه شدیم که هک کردن در گروه‌هایی از دامنه‌ها به طور همزمان اتفاق می‌افتد. با تجزیه و تحلیل مجموعه داده‌های ما، شاهد یک دوره اولیه ربایش در سال 2020 بودیم، پس از آن دوره عدم فعالیت نسبی در اوایل سال 2021 و در نهایت افزایش فعالیت در اواخر سال‌های 2021، 2022 و 2023 مشاهده شد. تعداد دامنه‌های ربوده شده همزمان به طور پیوسته افزایش یافته است. در طول دوره مطالعه ما، نشان دهنده یک مشکل رو به رشد است.

توصیه های کاهش

ما توصیه می‌کنیم که پلتفرم‌های ابری یا از نمایش نام‌های منابع ایجاد شده توسط کاربر به صورت عمومی جلوگیری کنند (مثلاً از طریق رکوردهای DNS) و/یا ثبت نام مجدد نام‌های منابع اخیراً منتشر شده را ممنوع کنند. ما همچنین پاک کردن سوابق DNS قدیمی را توصیه می کنیم. علاوه بر این، پلتفرم‌های ابری باید منابع منتشر شده را با استفاده از روش‌شناسی ما نظارت کنند و به صاحبان دامنه ثبت‌شده محتوا یا تغییرات نقشه سایت هشدار دهند. همانطور که مشاهده می‌کنیم که مهاجمان گواهی‌هایی را برای دامنه‌های ربوده شده صادر می‌کنند، توصیه می‌کنیم که ارائه‌دهندگان ابر همچنین گزارش‌های CT را برای الگوهای غیرعادی در دامنه‌های میزبانی شده بر روی پلت‌فرم‌هایشان نظارت کنند تا به شناسایی کمپین‌های سوءاستفاده در مقیاس بزرگ کمک کنند.

در تحقیق خود، ما بر منابع موجود در پلتفرم‌های ابری تمرکز کردیم، با این حال، نتایج ما می‌تواند برای شناسایی سوء استفاده‌ها در سایر سرویس‌های شخص ثالث مورد استفاده قرار گیرد. به عنوان مثال، در حالی که سیستم های مدیریت محتوا (CMS) مانند وردپرس در مجموعه داده های ما گنجانده نشده است، ما انتظار داریم تعداد زیادی از ربایش [freetext].wordpress.com زیر دامنه ها، همانطور که وردپرس همچنین ثبت زیر دامنه متن آزاد را برای وبلاگ های خود پیاده سازی می کند.

---

این مقاله بر اساس یک مقاله تحقیقاتی است که برای انتشار در بیست و یکمین سمپوزیوم USENIX در زمینه طراحی و پیاده سازی سیستم های شبکه (NSDI) پذیرفته شده است. جنز فرایز، توبیاس گاترمیر، نتانل گلرنتر، هایا شولمن و مایکل ویدنر، «ابر با احتمال حملات سایبری: سوء استفاده از منابع معلق در پلتفرم‌های ابری»