Gli attacchi “Sitting Ducks” rappresentano una delle più insidiose minacce alla sicurezza dei domini online. Questo tipo di attacco sfrutta vulnerabilità nei sistemi di nome di dominio (DNS) per hijackare milioni di domini, permettendo agli hacker di utilizzare questi siti web per attività maliziose come phishing, distribuzione di malware e truffe finanziarie. In questo articolo, esploreremo le tecniche di attacco utilizzate dagli hacker, le conseguenze di questi attacchi e forniremo suggerimenti pratici per proteggere i tuoi domini.
Che sono gli attacchi “Sitting Ducks”?
Gli attacchi “Sitting Ducks” sono un tipo di attacco che sfrutta la vulnerabilità dei sistemi DNS. Questo tipo di attacco si basa su una configurazione errata dei servizi di nome di dominio, in particolare su delegazioni DNS “lame” (cioè, delegazioni in cui uno o più server di nome di dominio non rispondono correttamente alle richieste). Gli hacker possono sfruttare queste configurazioni errate per prendere il controllo di un dominio senza dover accedere al conto del proprietario del dominio presso il registrar o il fornitore di servizi DNS.
Come funziona l’attacco “Sitting Ducks”?
Per eseguire un attacco “Sitting Ducks”, gli hacker devono soddisfare alcune condizioni specifiche:
- Delegazione DNS errata: Il dominio deve essere configurato per utilizzare un fornitore di servizi DNS diverso dal registrar.
- Delegazione lame: Uno o più server di nome di dominio non devono rispondere correttamente alle richieste.
- Fornitore di servizi DNS vulnerabile: Il fornitore di servizi DNS deve permettere agli hacker di reclamare il dominio senza verificare la proprietà legittima del dominio.
Una volta soddisfatte queste condizioni, gli hacker possono creare un account presso il fornitore di servizi DNS e reclamare il dominio. Successivamente, possono configurare i record DNS per risolvere le richieste di IP indirizzo a un indirizzo IP falso, permettendo loro di utilizzare il dominio per attività maliziose.
Esempi di attacchi “Sitting Ducks”
Gli attacchi “Sitting Ducks” sono stati utilizzati da diverse organizzazioni maliziose per una varietà di scopi. Alcuni esempi includono:
- Vacant Viper: Questo gruppo ha utilizzato gli attacchi “Sitting Ducks” per hijackare circa 2.500 domini ogni anno, utilizzandoli per distribuire spam e malware.
- VexTrio Viper: Questo gruppo ha iniziato a utilizzare gli attacchi “Sitting Ducks” nel 2020 per creare un sistema di distribuzione del traffico (TDS) che facilita le operazioni di SocGholish e ClearFake.
- Horrid Hawk: Questo gruppo ha utilizzato gli attacchi “Sitting Ducks” per eseguire campagne di frode finanziaria, utilizzando domini hijackati in ogni fase delle loro operazioni.
Come proteggere i tuoi domini dagli attacchi “Sitting Ducks”?
Per proteggere i tuoi domini dagli attacchi “Sitting Ducks”, è importante seguire alcuni suggerimenti pratici:
- Utilizza un fornitore di servizi DNS separato dal registrar: Assicurati di utilizzare un fornitore di servizi DNS diverso dal registrar per ridurre le vulnerabilità.
- Verifica le delegazioni DNS: Assicurati che le delegazioni DNS siano corrette e che tutti i server di nome di dominio rispondano correttamente alle richieste.
- Utilizza provider di servizi DNS con protezioni contro gli attacchi “Sitting Ducks”: Scegli provider di servizi DNS che offrono protezioni specifiche contro gli attacchi “Sitting Ducks”.
- Monitora i tuoi domini: Utilizza servizi di monitoraggio come Shadowserver per identificare eventuali problemi con i tuoi domini.
- Assegna host name server casuali per la verifica: Assicurati che i nuovi host name server non siano identici ai precedenti per ridurre le possibilità di attacchi.
- Blocca modifiche agli host name server assegnati: Assicurati di bloccare eventuali modifiche agli host name server assegnati per prevenire attacchi.
Seguendo questi suggerimenti, puoi ridurre significativamente il rischio di subire un attacco “Sitting Ducks” e proteggere i tuoi domini da attività maliziose.
