5 min Security

Sitting Ducks-aanvallen in opmars: domeinnamen gekaapt zonder inbraak

Wat is een Sitting Ducks-aanval?

Sitting Ducks-aanvallen in opmars: domeinnamen gekaapt zonder inbraak

Domeinnamen worden ongemerkt gekaapt door Sitting Ducks-aanvallen. De aanval verloopt zonder in te breken op het gelinkte account bij de DNS-provider. Het resultaat van de aanval is groot: cybercriminelen krijgen de mogelijkheid om zaken zoals malware en phishing te verspreiden onder de domeinnaam.

DNS-providers vormen het doelwit van Sitting Ducks-aavallen. Dergelijke aanvallen geven cybercriminelen de mogelijkheid domeinnamen te kapen en deze vervolgens te misbruiken. Misbruik kan de vorm aannemen van malware, phishingcampagnes, merkimitatie en data-exfiltratie. Een Cobalt Strike zou op deze manier al illegaal verspreid zijn geweest.

Onderzoekers van Infoblox en Eclypsium trokken deze aanvalsmethode na en ontdekten actief misbruik bij verschillende DNS-providers. Deze provider deelt in de schuld, door niet goed te controleren of de persoon die een domein claimt, dit ook daadwerkelijk beheert. Aanvallers hoeven door deze nalatigheid niet de moeite te nemen in te breken op het account van de bezitter van de te stelen domeinnaam. Volgens het onderzoek zijn er op ieder willekeurig moment ruim één miljoen domeinnamen kwetsbaar.

Misconfiguraties of verkeerde DNS-provider

Een gelijkenis tussen de meeste ontdekte kwetsbare domeinnamen is dat de domeinen werden geconfigureerd om automatisch te vernieuwen bij de registrar, terwijl de hostingdiensten niet werden vernieuwd. In algemene zin zijn er drie factoren te identificeren die een domeinnaam kunnen blootstellen aan de aanval. De DNS-data kan ‘lame’ zijn, wat inhoudt dat er onvoldoende informatie beschikbaar is over het domein waardoor het systeem verzoekaanvragen niet af kan handelen. Daarnaast kan ‘name server delegation’ de kwetsbaarheid veroorzaken. Hierbij gebruikt een geregistreerd (sub)domein de DNS-service van een provider die niet de registrar is.

Bij de derde factor heeft de DNS-provider de zaken niet op orde. Aanvallers kunnen dat misbruiken en een domeinnaam claimen via de DNS-provider zonder in te loggen op het account van de bezitter. Wie zijn huiswerk maakt, registreert zijn domeinnaam natuurlijk niet bij dergelijke providers. De controle is niet moeilijk doordat op GitHub een lijst de ronde doet die regelmatig geüpdatet wordt met de meest recente informatie over de veiligheid van een DNS-provider.

DNS als kwetsbaar systeem

De studie naar Sitting Ducks toont aan dat de aanval opnieuw actief is. De eerste vermelding dateert uit 2016. Ondanks het verstrijken van acht jaar tijd, blijven DNS- en webhosting-providers kwetsbaar. Het beveiligen van deze aanvalsvector zorgde altijd al voor moeilijkheden. Domeinnamen werden bijvoorbeeld ook gekaapt in aanvallen zoals dangling DNS. Deze aanvallen vinden plaats op verwijderde domeinnamen, waarbij de verwijdering niet grondig genoeg gebeurde.

Een Sitting Duck-aanval is volgens de onderzoekers eenvoudiger uit te voeren, met een hogere slaagkans. Het is dan ook zo dat een aanvaller in een dangling DNS moet gokken of een domeinnaam ooit heeft gestaan én of deze slecht werd opgeruimd. Waar dit type aanval uitgaat van aannames, werkt een Sitting Duck vanuit beschikbare informatie.

Cybercriminelen ontwikkelden deze aanvallen, samen met nog veel andere types, om misconfiguraties in DNS aan te pakken. In de drie factoren die een domeinnaam kwetsbaar maken, zijn er twee te linken aan misconfiguraties. De houding vanuit deze markt leent zich ertoe aanvallen te ontwikkelen die dergelijke foutjes uitbuiten. Providers doen bugs in het systeem te vaak af als een onvermijdbaar gevolg van hoe de infrastructuur in elkaar zit. Kort gezegd: de bescherming op dit gebied kan en moet beter.

Scannen of van provider wisselen

Hoe kan een eigenaar van een domeinnaam ervoor zorgen dat het niet één van de miljoen kwetsbare domeinnamen wordt? Het is ten eerste beter dat de registrar en de DNS-provider dezelfde zijn of gelinkt zijn met elkaar. Dit om ‘name server delegation’ tegen te gaan. Ligt dat gevoelig, dan is het aan te raden na te gaan of één van de (sub)domeinen niet linkt naar service-providers waar je de accounts niet langer van op orde hebt. Tot slot is het verstandig een scan te doen naar mogelijk misconfiguraties via open-source-tools zoals het vernieuwde SanicDNS. Deze tool werd ontwikkeld door de Nederlandse start-up Hadrian en kan tot vijf miljoen domeinnamen per seconde omzetten. Dit overtreft de capaciteit van MassDNS, dat lange tijd de standaard is geweest. De tool werd recent gepresenteerd op DEFCON en is beschikbaar via GitHub.

Om de kwetsbaarheid goed in perspectief te kunnen plaatsen is het nog belangrijk te kijken naar het werkelijke aantal uitgevoerde aanvallen. De onderzoekers vonden tussen 2018 en 2024 bewijs voor 35.000 kapingen van domeinnamen. In dat opzicht blijkt het aantal uitbuitingen van de kwetsbaarheid dus goed mee te vallen. Zeer waarschijnlijk ontdekten de onderzoekers echter niet alle kapingen, doordat de aanvallen vaak geclassificeerd worden als credential theft. In dat geval zouden de inloggegevens van de domeinbeheerder gestolen zijn bij de DNS-provider, maar dit levert wel hetzelfde eindresultaat op.

Aanslepend probleem

De Sitting Ducks-aanval is een langer bestaande aanvalsmethode die de laatste periode opnieuw aan terrein wint. Hoewel uitbuiting potentieel een groot aantal slachtoffers maakt, voelen DNS-providers weinig noodzaak om de situatie snel aan te pakken. Onderzoekers van Infoblox en Eclypsium werken sinds de ontdekking in juni 2024 samen met handhavingsinstanties en nationale CERTs om daar verandering in te brengen.

Lees ook: Infoblox SOC Insights brengt DNS-inzichten naar securityteams