Logo Zéphyrnet

Intelligence de données générative

Cyber sécurité

Les pirates informatiques « Savvy Seahorse » lancent une nouvelle astuce DNS CNAME

Republié par Platon
Republié par Platon

Date :

Vues: 190

Un acteur malveillant récemment découvert mène une escroquerie à l'investissement via un système de distribution de trafic (TDS) intelligemment conçu, qui tire parti du système de noms de domaine (DNS) pour que ses domaines malveillants restent en constante évolution et résistent aux retraits.

« Savvy Seahorse » se fait passer pour de grandes marques comme Meta et Tesla – et, via des publicités Facebook en neuf langues, incite les victimes à créer des comptes sur une fausse plateforme d'investissement. Une fois que les victimes ont approvisionné leurs comptes, l’argent est acheminé vers un compte vraisemblablement contrôlé par l’attaquant dans une banque publique russe.

C'est une sorte d'arnaque courante. Selon la Commission fédérale du commerce (FTC), les consommateurs américains ont déclaré avoir perdu 4.6 milliards de dollars à cause des escroqueries à l'investissement rien qu'en 2023. Cela représente près de la moitié des 10 milliards de dollars qui auraient été perdus à cause de toutes les formes d’escroqueries, ce qui en fait la forme la plus rentable du marché.

Ce qui différencie Savvy Seahorse du reste de la meute n’est donc pas la nature de sa ruse mais plutôt l’infrastructure qui la soutient.

Comme indiqué dans un nouveau rapport d'Infoblox, il exploite un TDS avec des milliers de domaines variés et fluides. Ce qui maintient l'ensemble du système ensemble est un enregistrement de nom canonique (CNAME), une propriété par ailleurs fade du DNS qu'il utilise pour garantir que, comme le vaisseau de Thésée, son TDS peut continuellement créer de nouveaux domaines et se débarrasser d'anciens sans vraiment rien changer du tout. sur la campagne elle-même.

Attaques TDS suralimentées via DNS

"Nous considérons normalement TDS comme faisant partie du monde HTTP : une connexion arrive, je prends une empreinte digitale de votre appareil et, en fonction de votre empreinte digitale, je peux vous envoyer vers un logiciel malveillant ou une arnaque ou je peux refuser le service", explique Renée Burton. responsable du renseignement sur les menaces chez Infoblox.

En effet, des écosystèmes entiers de cybercriminalité se sont développés autour des réseaux TDS basés sur HTTP ces dernières années, comme celui exploité par VexTrio. HTTP est privilégié pour toutes les métadonnées qu'il permet aux attaquants de capturer auprès des victimes : leur navigateur, qu'elles soient sur mobile ou sur ordinateur, etc.

« La plupart du temps, nous ignorons les TDS », poursuit-elle, « et si nous y prêtons attention, nous y pensons dans ce cadre étroit. Mais ce que nous avons découvert au cours des deux dernières années et demie, c'est qu'en réalité, il existe tout un concept de systèmes de distribution de trafic qui n'existent que dans le DNS.

En effet, Savvy Seahorse n’est pas nouveau – il fonctionne depuis au moins août 2021 – et n’est pas non plus tout à fait unique – d’autres groupes effectuent une distribution similaire du trafic basée sur le DNS, mais aucun n’a jusqu’à présent été décrit dans la littérature sur la sécurité. Alors, comment fonctionne cette stratégie ?

Comment Savvy Seahorse abuse de CNAME

Dans ce cas, tout se résume aux enregistrements CNAME.

Dans DNS, CNAME permet à plusieurs domaines de correspondre au même domaine de base (canonique). Par exemple, le domaine de base « darkreading.com » peut contenir des enregistrements CNAME pour www.darkreading.com, darkreading.xyz, et bien d'autres sous-domaines. Cette fonction de base peut aider à organiser un groupe de domaines par ailleurs vaste, lourd et changeant, appartenant à des organisations légitimes et, évidemment, à des cyberattaquants.

Comme l'explique Burton : « Ce que cet enregistrement CNAME fait spécifiquement pour Savvy Seahorse, c'est qu'il leur permet d'évoluer et de faire évoluer leurs opérations très rapidement. Ainsi, chaque fois que quelqu’un ferme l’un de ses sites de phishing – ce qui arrive assez fréquemment pour beaucoup d’entre eux – il lui suffit de passer à un nouveau. Ils ont des miroirs [du même contenu], essentiellement, partout, et ils utilisent le CNAME comme carte vers ces miroirs.

La même chose fonctionne pour les adresses IP : si quelqu'un tente de fermer l'infrastructure d'hébergement de Savvy Seahorse, il peut simplement pointer son CNAME vers une adresse différente à tout moment. Cela lui permet non seulement d'être résilient, mais aussi évasif, en faisant la publicité de l'un de ses sous-domaines pendant seulement cinq à dix jours en moyenne (probablement parce qu'il leur est si facile de les échanger).

CNAME permet également à l'acteur malveillant de développer dès le départ un TDS plus robuste.

Comment CNAME change la donne pour les attaquants et les défenseurs

Les attaquants ont tendance à enregistrer tous leurs domaines en masse via un seul registraire et à utiliser un seul fournisseur de services Internet (FAI) pour les gérer tous, simplement pour éviter d'avoir à trop jongler en même temps. L’inconvénient (pour eux) est que cela permet aux cyberdéfenseurs de découvrir facilement tous leurs domaines, via leurs métadonnées d’enregistrement communes.

Considérons maintenant Savvy Seahorse, qui a utilisé pas moins de 30 bureaux d'enregistrement de domaines et 21 FAI pour héberger 4,200 36 domaines. Quel que soit le nombre de bureaux d'enregistrement, de FAI ou de domaines qu'ils utilisent, en fin de compte, ils sont tous associés via CNAME à un seul domaine de base : bXNUMXcname[.]site.

Mais il y a aussi un piège ici. Un talon d'Achille. CNAME est à la fois l'étoile filante de Savvy Seahorse et son unique point d'échec.

« Il existe environ 4,000 XNUMX mauvais noms de domaine, mais il n'y a qu'un seul mauvais CNAME », souligne Burton. Se défendre contre un groupe comme Savvy Seahorse peut donc impliquer un chemin incroyablement exigeant, ou un chemin tout à fait facile. "Tout ce que vous avez à faire est de bloquer le domaine de base [vers lequel pointe le CNAME] et, du point de vue des renseignements sur les menaces, vous pouvez tout tuer d'un seul coup."

Aucune règle n'interdit aux attaquants de créer des réseaux malveillants à l'aide de nombreux CNAME, explique Burton, mais « la plupart du temps, ils agrègent les réseaux. Même dans les systèmes les plus grands, nous les voyons se regrouper en un ensemble beaucoup plus petit de CNAME.

"Pourquoi?" » demande-t-elle : « Peut-être parce qu'ils ne se font pas prendre. »

spot_img

Dernières informations

spot_img

Copyright @ 2024 Platon Technologies Inc.