Novoodkrit akter grožnje izvaja naložbeno prevaro prek pametno zasnovanega sistema za distribucijo prometa (TDS), ki izkorišča sistem domenskih imen (DNS), da ohranja svoje zlonamerne domene nenehno spreminjajoče se in odporne na odstranitve.
»Savvy Seahorse« se predstavlja kot glavna imena blagovnih znamk, kot sta Meta in Tesla, in z oglasi na Facebooku v devetih jezikih zvabi žrtve v ustvarjanje računov na lažni naložbeni platformi. Ko žrtve napolnijo svoje račune, se denar nakaže na račun, ki ga domnevno nadzoruje napadalec, v ruski državni banki.
To je pogosta vrsta prevare. Po podatkih Zvezne komisije za trgovino (FTC), so ameriški potrošniki poročali, da so samo v letu 4.6 zaradi naložbenih prevar izgubili 2023 milijarde dolarjev. To je skoraj polovica od 10 milijard dolarjev, ki naj bi bile izgubljene zaradi vseh oblik prevar, zaradi česar je najbolj donosna vrsta na svetu.
Torej tisto, kar Savvy Seahorse loči od tropa, ni značaj njegove zvijače, temveč infrastruktura, ki ga podpira.
Kot je opisano v novem poročilu Infobloxa, upravlja TDS s tisoči različnih in tekočih domen. Kar ohranja celoten sistem skupaj, je zapis kanoničnega imena (CNAME), sicer mehka lastnost DNS-ja, ki jo uporablja za zagotovitev, da lahko, tako kot Tezejeva ladja, njegov TDS nenehno ustvarja nove in opušča stare domene, ne da bi karkoli spremenil. o sami kampanji.
TDS Attacks Supercharged preko DNS
»Običajno mislimo, da je TDS v svetu HTTP – vzpostavi se povezava, dam prstni odtis vaše naprave in na podlagi vašega prstnega odtisa vas lahko pošljem na kakšno zlonamerno programsko opremo ali prevaro ali zavrnem storitev,« pojasnjuje Renée Burton, vodja oddelka za obveščanje o grožnjah pri Infobloxu.
Celotni ekosistemi kibernetske kriminalitete so se v zadnjih letih dejansko razvili okoli omrežij TDS, ki temeljijo na HTTP, kot npr. tisti, ki ga upravlja VexTrio. HTTP ima prednost za vse metapodatke, ki jih napadalcem omogoča, da zajamejo od žrtev: njihov brskalnik, ne glede na to, ali so na mobilnih ali namiznih računalnikih itd.
»Večinoma ignoriramo TDS,« nadaljuje, »in če smo pozorni, razmišljamo o tem v tem ozkem okviru. Toda v zadnjih dveh letih in pol smo ugotovili, da v resnici dejansko obstaja cel koncept sistemov za distribucijo prometa, ki dejansko samo obstaja v DNS.«
Savvy Seahorse pravzaprav ni nov – deluje vsaj od avgusta 2021 – niti ni povsem edinstven – druge skupine izvajajo podobno distribucijo prometa na podlagi DNS, vendar še nobena ni bila opisana v varnostni literaturi. Kako torej deluje ta strategija?
Kako Savvy Seahorse zlorablja CNAME
V tem primeru se vse zmanjša na zapise CNAME.
V DNS CNAME omogoča preslikavo več domen v isto osnovno (kanonično) domeno. Na primer, osnovna domena »darkreading.com« ima lahko zapise CNAME za www.darkreading.com, darkreading.xyz, in veliko več poddomen. Ta osnovna funkcija lahko pomaga organizirati sicer veliko, okorno in spreminjajočo se skupino domen v lasti zakonitih organizacij in očitno tudi kibernetskih napadalcev.
Kot pojasnjuje Burton: »Za Savvy Seahorse ta zapis CNAME konkretno naredi to, da jim omogoča zelo hitro prilagajanje in premikanje svojih operacij. Torej vsakič, ko nekdo zapre eno od svojih spletnih mest z lažnim predstavljanjem – kar se mnogim od njih zgodi precej pogosto – se mora le premakniti na novo. Imajo ogledala [enake vsebine], v bistvu povsod, in uporabljajo CNAME kot zemljevid do teh ogledal.«
Enako velja za naslove IP – če kdorkoli poskuša zaustaviti infrastrukturo gostovanja Savvy Seahorse, lahko svoj CNAME takoj usmeri na drug naslov. To ji omogoča, da ni samo odporna, temveč tudi izogibajoča se, saj oglašuje katero koli od svojih poddomen v povprečju le pet do deset dni (verjetno zato, ker jih tako enostavno zamenjajo in izklopijo).
CNAME tudi osvobodi akterja grožnje, da že od samega začetka razvije robustnejši TDS.
Kako CNAME spremeni igro za napadalce in branilce
Napadalci ponavadi registrirajo vse svoje domene v velikem obsegu prek enega samega registrarja in uporabljajo enega samega ponudnika internetnih storitev (ISP) za upravljanje vseh, preprosto zato, da se izognejo žongliranju preveč naenkrat. Slaba stran (za njih) je, da to spletnim zagovornikom olajša odkrivanje vseh njihovih domen prek skupnih metapodatkov o registraciji.
Zdaj razmislite o Savvy Seahorse, ki je uporabil nič manj kot 30 registratorjev domen in 21 ponudnikov internetnih storitev za gostovanje 4,200 domen. Ne glede na to, koliko registrarjev, ISP-jev ali domen uporabljajo, so na koncu vsi povezani prek CNAME z eno samo osnovno domeno: b36cname[.]site.
A tudi tukaj je zanka. Ahilova peta. CNAME je vodilna zvezda Savvy Seahorse in njegova edina točka neuspeha.
»Obstaja približno 4,000 slabih domenskih imen, vendar je samo eno slabo CNAME,« poudarja Burton. Za obrambo pred skupino, kot je Savvy Seahorse, je torej lahko potrebna ena izjemno naporna pot ali ena povsem lahka. »Vse, kar morate storiti, je, da blokirate eno osnovno domeno [na katero kaže CNAME] in z vidika obveščevalnih podatkov o grožnjah boste uničili vse z enim udarcem.«
Ni pravila, ki pravi, da napadalci ne morejo zgraditi zlonamernih omrežij z uporabo številnih CNAME-jev, pojasnjuje Burton, a »večinoma se združujejo. Tudi v največjih sistemih vidimo, da se združujejo v veliko manjši nabor CNAME.«
"Zakaj?" vpraša: "Mogoče zato, ker jih ne ujamejo."
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.darkreading.com/vulnerabilities-threats/savvy-seahorse-hackers-debut-novel-dns-cname-trick
