کمیته رکن چهارم – پژوهشگران امنیتی از کشف یک کمپین فیشینگ جدید خبر دادهاند که در آن مهاجمان با سوءاستفاده از دامنه زیرساختی .arpa و مکانیزم Reverse DNS در IPv6 تلاش میکنند کنترلهای امنیتی ایمیل و سیستمهای مبتنی بر شهرت دامنه را دور بزنند.
به گزارش کمیته رکن چهارم، دامنه .arpa یک دامنه سطحبالای ویژه برای زیرساخت اینترنت است که معمولاً برای وبسایتهای عمومی استفاده نمیشود و بیشتر در فرآیند Reverse DNS Lookup به کار میرود؛ روشی که طی آن یک آدرس IP به نام میزبان (hostname) تبدیل میشود. در IPv6 این فرآیند از دامنه ip6.arpa استفاده میکند.
پژوهشگران شرکت Infoblox اعلام کردهاند مهاجمان با دریافت یک محدوده آدرس IPv6 و کنترل ناحیه Reverse DNS آن، توانستهاند رکوردهای DNS غیرمعمول ایجاد کنند. در حالی که این دامنهها معمولاً فقط شامل رکوردهای PTR هستند، برخی پلتفرمهای مدیریت DNS اجازه ایجاد رکوردهای A را نیز میدهند. مهاجمان از همین امکان برای هدایت دامنههای Reverse DNS به سرورهای فیشینگ استفاده کردهاند.
در این کمپین مشاهده شده مهاجمان از زیرساخت سرویسهایی مانند Cloudflare و Hurricane Electric برای ایجاد این رکوردها بهره بردهاند؛ موضوعی که به دلیل اعتبار بالای این سرویسها میتواند فعالیتهای مخرب را پنهانتر کند.
برای اجرای حمله، مهاجمان ابتدا یک بلاک آدرس IPv6 دریافت کرده و سپس با تولید دامنههای معکوس و استفاده از سابدامینهای تصادفی، لینکهایی ایجاد میکنند که تشخیص آنها دشوار است. در ایمیلهای فیشینگ، لینکها اغلب در قالب تصاویر قرار داده میشوند و به دامنههایی شبیه نمونه زیر اشاره دارند:
d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa
پس از کلیک کاربر، سیستم قربانی نام Reverse DNS را حل کرده و درخواست به نامسرورهای کنترلشده توسط مهاجم ارسال میشود. سپس کاربر به یک Traffic Distribution System (TDS) هدایت میشود که با بررسی عواملی مانند آدرس IP، نوع دستگاه و referrer مرورگر تعیین میکند آیا بازدیدکننده هدف واقعی است یا خیر. در صورت تأیید، کاربر به سایت فیشینگ منتقل میشود؛ در غیر این صورت به یک وبسایت قانونی هدایت خواهد شد.
پژوهشگران همچنین اعلام کردهاند لینکهای این کمپین معمولاً کوتاهعمر هستند و تنها چند روز فعال باقی میمانند. پس از آن یا به خطای دامنه ختم میشوند یا به سایتهای قانونی هدایت میشوند تا ردیابی کمپین برای تحلیلگران امنیتی دشوارتر شود.
یکی از دلایل اثربخشی این روش آن است که دامنه .arpa فاقد اطلاعات WHOIS و دادههای ثبت دامنه است؛ بنابراین بسیاری از سامانههای امنیتی مبتنی بر شهرت دامنه نمیتوانند اعتبار آن را بهدرستی ارزیابی کنند.
پژوهشگران همچنین مشاهده کردهاند مهاجمان در کنار این تکنیک از روشهای دیگری مانند CNAME dangling record hijacking و subdomain shadowing نیز استفاده کردهاند و در بیش از ۱۰۰ مورد، سابدامینهای سازمانهای معتبر مانند دانشگاهها، نهادهای دولتی، رسانهها و شرکتهای مخابراتی را برای اجرای حملات فیشینگ به کار گرفتهاند.
کارشناسان امنیتی تأکید میکنند بهترین راه مقابله با چنین حملاتی همچنان رعایت اصول پایه امنیت سایبری است؛ از جمله کلیک نکردن روی لینکهای مشکوک در ایمیلها و مراجعه مستقیم به وبسایتهای رسمی سرویسها.
منبع: bleepingcomputer
