Keributan terjadi lagi di dunia maya, sebuah momok baru bernama Sitting Duck bajak ribuan domain, kekacauan ini membuat banyak pemilik domain kalang kabut.
Serangan Sitting Duck telah membajak lebih dari 35.000 domain terdaftar yang memungkinkan klaim domain tanpa memiliki akses ke akun pemilik..
Dalam serangan Sitting Ducks, pelaku mengeksploitasi kekurangan konfigurasi di tingkat pendaftar dan verifikasi kepemilikan yang tidak memadai di penyedia DNS.
Peneliti menemukan bahwa ada lebih dari satu juta domain yang dapat dibajak setiap hari melalui serangan Sitting Ducks.
Baca juga: Forensik Email Phising |
Serangan Sitting Ducks
Meskipun masalah yang memungkinkan Sitting Ducks pertama kali didokumentasikan pada tahun 2016, vektor serangan ini terus menjadi cara yang lebih mudah untuk membajak domain daripada metode lain yang lebih dikenal.
Agar serangan dapat dilakukan, kondisi berikut ini diperlukan:
- Domain terdaftar menggunakan atau mendelegasikan layanan DNS otoritatif ke penyedia selain pendaftar.
- Server nama otoritatif dari rekaman tidak dapat menyelesaikan kueri karena tidak memiliki info tentang domain (delegasi yang tidak sempurna).
- Penyedia DNS perlu mengizinkan klaim domain tanpa memverifikasi kepemilikan dengan benar atau memerlukan akses ke akun pemilik.
Variasi serangan tersebut mencakup delegasi yang tidak sempurna sebagian (tidak semua nama server dikonfigurasi dengan tidak benar) dan delegasi ulang ke penyedia DNS lain.
Namun, jika delegasi yang tidak sempurna dan kondisi penyedia yang dapat dieksploitasi terpenuhi, domain dapat dibajak.
Pelaku dapat menggunakan metode Sitting Ducks pada domain yang menggunakan layanan DNS otoritatif dari penyedia yang berbeda dari pendaftar, seperti layanan hosting web.
Jika DNS resmi atau layanan hosting web untuk domain target kedaluwarsa, pelaku dapat mengklaimnya begitu saja setelah membuat akun dengan penyedia layanan DNS.
Pelaku kini dapat menyiapkan situs web jahat di bawah domain dan mengonfigurasi pengaturan DNS untuk menyelesaikan permintaan rekaman alamat IP ke alamat palsu dan pemilik sah tidak akan dapat mengubah rekaman DNS.
Baca juga: Lima Tren Serangan Perusahaan |
Sitting Duck Bajak Ribuan Domain
Dilaporkan bahwa peneliti telah mengamati beberapa pelaku yang mengeksploitasi vektor serangan Sitting Ducks (atau Ducks Now Sitting – DNS) sejak 2018 dan 2019.
Sejak itu, setidaknya ada 35.000 kasus pembajakan domain menggunakan metode ini. Biasanya, penjahat dunia maya memegang domain untuk waktu yang singkat, tetapi ada beberapa contoh di mana mereka menyimpannya hingga satu tahun.
Ada juga kejadian di mana domain yang sama dibajak oleh beberapa pelaku secara berturut-turut, yang menggunakannya dalam operasi mereka selama satu hingga dua bulan dan kemudian menyebarkannya.
Domain GoDaddy dipastikan menjadi korban serangan Sitting Ducks, tetapi para peneliti mengatakan ada enam penyedia DNS yang saat ini rentan.
Kluster aktivitas yang diamati yang memanfaatkan Sitting Ducks dirangkum sebagai berikut:
- Spammy Bear – Membajak domain GoDaddy pada akhir 2018 untuk digunakan dalam kampanye spam.
- Vacant Viper – Mulai menggunakan Sitting Ducks pada Desember 2019, dan membajak 2.500 domain setiap tahun sejak saat itu, digunakan dalam sistem 404TDS yang mendistribusikan IcedID, dan menyiapkan domain perintah dan kontrol (C2) untuk malware.
- VexTrio Viper – Mulai menggunakan Sitting Ducks pada awal tahun 2020 untuk memanfaatkan domain dalam sistem distribusi lalu lintas besar-besaran (TDS) yang memfasilitasi operasi SocGholish dan ClearFake.
- Aktor yang tidak disebutkan namanya – Beberapa pelaku yang lebih kecil dan tidak dikenal yang menciptakan TDS, distribusi spam, dan jaringan phising.
Baca juga: Malware USB di Platform Hosting Media |
Tip Sitting Duck
Berikut beberapa tip yang dapat diterapkan untuk mengatasi Serangan Sitting Duck:
- Pemilik domain harus secara teratur meninjau konfigurasi DNS mereka untuk pendelegasian yang lemah, terutama pada domain yang lebih lama.
- Kemudian memperbarui catatan pendelegasian di pendaftar atau server nama yang berwenang dengan layanan DNS yang tepat dan aktif.
- Pendaftar disarankan untuk melakukan pemeriksaan proaktif untuk pendelegasian yang lemah dan memberi tahu pemilik.
- Mereka juga harus memastikan bahwa layanan DNS telah ditetapkan sebelum menyebarkan pendelegasian nama server .
- Pada akhirnya, regulator dan badan standar harus mengembangkan strategi jangka panjang untuk mengatasi kerentanan DNS
- Dan menekan penyedia DNS di bawah yurisdiksi mereka untuk mengambil tindakan lebih lanjut guna mengurangi serangan Sitting Ducks.
Sumber berita: