СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:24
#ИБ

Фишинг через .arpa и IPv6: обход DNS-защиты

Коротко: Исследователи обнаружили сложную фишинговую кампанию, в которой злоумышленники злоупотребляют доменом верхнего уровня .arpa и инфраструктурами IPv6, чтобы обходить привычные механизмы фильтрации и блокировки вредоносного контента.

Суть проблемы

Домен .arpa исторически предназначен для обратного поиска в DNS и не предполагается для размещения обычных веб-ресурсов. Тем не менее злоумышленники научились эксплуатировать функцию управления DNS у ряда поставщиков, что позволяет добавлять записи, указывающие на IP-адреса, и размещать фишинг-сайты в зонах, которые обычно не должны были бы разрешаться по IP. Благодаря этому атака ускользает от систем, опирающихся на репутацию домена.

Как работает атака

Кампания разворачивается по следующему сценарию:

  • Атакующие получают адресное пространство IPv6 и расширяют контроль над соответствующим поддоменом .arpa.
  • Вместо стандартных записей указателя (PTR) злоумышленники создают записи адреса (A), что позволяет разрешать обратные записи в прямые IP-ссылки.
  • Фишинговые письма, маскируясь под крупные бренды, содержат изображения-приманки и скрытые ссылки, которые кодируются в обратной DNS-строке, чтобы не демонстрировать длинные подозрительные доменные имена пользователю.
  • При переходе по ссылке включается система распределения трафика, которая анализирует подключение (fingerprinting) и затем перенаправляет жертву на целевую фишинговую страницу.
  • Гиперссылки в письмах часто имеют временную доступность, что усложняет последующие расследования и ретроспективный анализ.

Технические детали и инструменты злоумышленников

Известно, что злоумышленники злоупотребляли авторитетными DNS-сервисами, такими как Hurricane Electric и Cloudflare, демонстрируя глубокое понимание уязвимостей неправильной настройки DNS. Кроме того, в арсенале атакующих были:

  • перехват «висящих» записей CNAME (dangling CNAME), связанных с доменами, срок действия которых истёк или которые были заброшены;
  • отслеживание поддоменов и использование оставшихся ссылок на облачные сервисы (брошенные Cloud ресурсы), которые продолжают указывать на легитимные домены;
  • кодирование ссылок на фишинг в обратной DNS-строке, что делает URL-адреса визуально невидимыми и менее подозрительными для пользователей.

«Использование .arpa в сочетании с IPv6 и неправильной конфигурацией DNS — это новый уровень сложности для систем защиты, которые все ещё в основном ориентируются на репутацию домена», — отмечают специалисты по кибербезопасности.

Почему это сложно обнаружить

Несколько факторов делают этот вектор особенно опасным:

  • Доверие к .arpa: зоны .arpa воспринимаются как служебные и имеют высокий уровень доверия в инфраструктуре интернета.
  • Репутационные проверки бессильны: традиционные системы, анализирующие доменную репутацию, либо игнорируют .arpa, либо не умеют корректно работать с обратными записями, используемыми в атаке.
  • Долговременное существование уязвимых записей: многие похищённые или висящие записи работали годами — есть случаи с 2020 года.
  • Временная динамика ссылок: короткое время жизни гиперссылок усложняет логирование и ретроспективное обнаружение.

Масштабы и последствия

Наблюдения показывают существенную активность фишинг-агентств, использующих эту технику. В результате организации и пользователи подвержены целенаправленным фишинг-кампаниям, имитирующим крупные бренды. Успешные атаки могут привести к компрометации учетных данных, утечке персональной информации и финансовым потерям.

Индикаторы компрометации (IoC) и признаки фишинга

  • необычно сформированные обратные записи в зонах .arpa;
  • наличие A-записей в областях, где ожидаются PTR;
  • использование IPv6-адресов в неожиданных контекстах;
  • короткоживущие ссылки в письмах и изображения-приманки, указывающие на скрытые редиректы;
  • висящие или брошенные CNAME-записи, указывающие на внешние облачные сервисы.

Рекомендации для защиты

Организациям и операторам DNS рекомендуется принять комплекс мер:

  • пересмотреть политики управления обратными зонами .arpa и ограничить возможность создания A-записей там, где ожидаются только PTR;
  • внедрить мониторинг на предмет неожиданных изменений в обратных зонах и оповещения о создании A-записей в .arpa;
  • проверять владение и управление IPv6-префиксами и своевременно реагировать на подозрительную регистрацию адресного пространства;
  • практиковать регулярный аудит висящих CNAME и интеграцию с процессами возврата/удаления ссылок от облачных провайдеров;
  • усилить обучение пользователей по распознаванию фишинга: подозрительные письма с предложениями «подарков» или уведомлениями услуг должны вызывать повышенную бдительность;
  • обновить правила SIEM/IDS/IPS с учётом специфики атак, использующих обратные DNS-записи и IPv6.

Вывод

Атаки, использующие .arpa и IPv6, демонстрируют, насколько быстро адаптируются злоумышленники к существующим механизмам защиты и как уязвимости в конфигурации инфраструктуры могут быть использованы для обхода систем репутационного контроля. Комплексные меры — технические, операционные и обучающие — необходимы для снижения рисков и своевременного обнаружения таких кампаний.

Важно: администраторы DNS и специалисты по кибербезопасности должны рассматривать обратные зоны как часть поверхности атаки и включать их в регулярные обзоры безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: