Infobloxのセキュリティ研究者は、「lame nameserver delegation(不完全なネームサーバー委任)」として知られるDNSの設定不備を突く手法を利用し、数百万件に及ぶ悪意あるプッシュ通知広告を成功裏に傍受した。いかなるシステムも直接侵害することなく、大規模なアフィリエイト広告運用の全体像を完全に可視化したという。
研究者らは、脅威アクターが使用していた放棄ドメインを特定したと主張しており、2週間で5,700万件超のログのコピーを受け取った。そこから、世界中の被害者を狙った広範な欺瞞行為、詐欺活動、ブランドなりすましが明らかになったという。
この攻撃は「Sitting Ducks」と呼ばれる脆弱性を悪用したもので、ドメイン所有者が外部ネームサーバーを参照するようにドメインを設定している一方、そのネームサーバー側に当該ドメインの情報が存在しない状態を指す。
研究者が、悪意あるプッシュ通知ネットワークがlame delegationにより複数のドメインを放棄していることを発見した際、ドメインを登録し直す必要なく、DNSプロバイダー上でそれらのドメインを取得したと主張している。
制御を掌握してから1時間以内に、被害者デバイスからのトラフィックがサーバーに殺到し、詳細なデバイス情報、ユーザーメトリクス、広告データが暗号化されていない平文で送信されてきた。
研究者らは、1つのドメインの監視から、1日以内に約120の設定不備ドメインへと対象を拡大し、毎秒30メガバイトのログを収集した。
これは従来型のadversary-in-the-middle攻撃ではなく、研究者は脅威アクターのインフラの「脇」に位置する立場を占め、被害者へ送信される各通知の複製を受動的に受け取っていた。
規模と影響
傍受されたデータから、60以上の言語で被害者に欺瞞的コンテンツを配信する、グローバルなプッシュ通知広告ネットワークの存在が明らかになった。
被害者は1日平均140件の通知を受け取り、中には1年以上このサービスに登録し続けていた者もいた。
通知はBradesco、Sparkasse、MasterCard、Touch ‘n Go、GCashなどの正規の金融機関になりすましていたほか、ギャンブル詐欺、偽のセキュリティ警告、アダルトコンテンツも宣伝していた。
地理的分析では、トラフィックの50%が南アジア、特にバングラデシュ、インド、インドネシア、パキスタンを標的としていたことが示された。
規模は巨大であるにもかかわらず、この運用の収益性は驚くほど低かった。脅威アクターはクリック率(CTR)の推定値を平均6万分の1として符号化しており、実際の率も、5,200万件の広告に対して約630クリックという形で、この悲惨な数値を裏付けた。
研究者は、監視対象ドメインからの収益は1日あたりわずか350ドル程度だったと推定している。
セキュリティ上の示唆
この研究は、悪意あるアクターと正規組織の双方に影響し得る重大なDNS衛生上の不備を浮き彫りにしている。
遅延の違いにより、1,000回の広告表示あたりで報酬が支払われるにもかかわらず、この脅威アクターは被害者に同じ広告を1日最大20回表示している。
同じSitting Ducksの手法は、Vacant Viperのような脅威アクターによっても悪用されており、正規企業の休眠ドメインを乗っ取って、404TDSのようなトラフィック分配システムを通じたマルウェア配布に利用されている。
セキュリティ専門家は、lame delegationを伴う放棄ドメインは「格好の標的(sitting ducks)」となり、ドメイン所有者が侵害に気づかないまま、異なる悪性キャンペーンのために繰り返し取得され得ると警告している。
組織はDNS設定を監査し、すべてのネームサーバー委任が正しく維持されていること、また外部ネームサーバーに設定済みドメインの完全なレコードが存在することを確認しなければならない。
翻訳元: https://gbhackers.com/hacker-domain/
