このトリックはIPv6トンネリングとドメイン悪用を組み合わせて、被害者を悪意のあるウェブサイトにリダイレクトしています。
脅威アクターは、フィッシング検出防御を回避する新しい方法を発見しました。.arpaトップレベルドメイン(TLD)とIPv6-IPv4トンネリングを操作して、IPアドレスに解決されるべきではないドメイン上でフィッシングコンテンツをホストしています。
知らない方のために説明すると、.arpaドメインはアドレスとルーティングパラメーターエリア(Address and Routing Parameter Area)ドメインで、インターネットインフラストラクチャの目的でのみ使用されるものです。主な用途は、IPアドレスをドメインにマッピングしたり、逆引きレコードを提供したりすることです。
しかし、Infobloxのレポートによると、脅威アクターは少なくとも1つのプロバイダーのDNSレコード管理コントロール内の機能を発見しました。期待されるPTRレコードを追加する代わりに、逆DNSネームのためにAレコードを作成することができるのです。
「そこからは」Infobloxは言います、「彼らはホスティングプロバイダーで好きなことができます。それはかなり賢いトリックです。」
Infobloxは、このトリックがHurricane Electricという米国ベースのDNSプロバイダーとコンテンツ配信プロバイダーCloudFlareに対して使用されていた時に、このトリックを最初に発見しました。また、他のプロバイダーも悪用されていることを確認し、それらに問題を通知しています。
このトリックは「確実に多くのセキュリティプラットフォームを迂回できる」と、Infobloxの脅威研究シニアディレクターであるDave Mitchellはインタビューで述べています。「これは確実にリスクだと思います。」
これまでのところ、Infobloxは2つのタイプの消費者向けスパムを見てきました。1つのグループは、デパート、スーパーマーケット、ハードウェアチェーンなどの大手ブランドになりすまし、アンケート完了のための賞品を提供しています。他の誘い文句は、被害者のオンラインサービスまたはマルウェア対策サブスクリプションが中断されたこと、またはクラウドストレージの容量が超過したことを主張し、サービスを復元するために支払う必要があることです。しかし、Mitchellは、このトリックが企業に対するスピアフィッシング攻撃に使用されない理由はないと述べています。
Infobloxが見た例では、被害者が誘い文句の画像(埋め込まれたハイパーリンクが隠されている)をクリックすると、一連のリダイレクトが彼らを悪意のあるランディングページに送信します。そこで被害者は、ギフトの送料を支払うために、クレジットカード番号を入力するよう求められ、それはハッカーに捕捉されます。
「.arpa TLDの悪用は新しいもので、それは暗黙的に信頼され、ネットワーク操作に不可欠なインフラストラクチャを武器化します」とInfobloxレポートは言っています。「IPv6逆DNSドメインを悪意のあるリンクとして使用することで、脅威アクターはセキュリティツールを迂回する配信メカニズムを発見しました。
「影響は即座であり、過大評価することはできません」とレポートは追加しています。「評判、登録情報、ポリシーブロックリストなどを使用して疑わしいドメインを検出することに依存するセキュリティは、これらのドメインには効果がありません。これらのドメインは暗黙的にクリーンな評判を持ち、登録情報がなく、通常はポリシーでブロックされません。」
[関連コンテンツ:不十分なDNS衛生がドメインハイジャッキングの原因になっている]
Infobloxが見つけた例では、攻撃者はプロバイダーが提供する無料サービスの一部として、Hurricane ElectricからIPv6-IPv4トンネリングのアドレスを取得しました。サービスの顧客は、割り当てられたスペース内のDNSをDNSプロバイダーに指定することが許可されています。その後に起こるはずのことは、IT部門または個人がそのスペースを使用してDNSゾーンを構築し、IPアドレスを名前にマッピング(jones.com、smith.orgなど)することです。しかし、これらの攻撃では、ハッカーはCloudFlareネームサーバーに目を向け、IPv6 .arpa割り当てを追加し、逆DNSレコードのみを作成する代わりに、悪意のあるウェブサイトに向かう前方DNSレコードを作成しました。
このトリックは、プロバイダーがシステムをセットアップしている方法のため、すべてのプロバイダーで必ずしも機能しません、とMitchellは述べています。例えば、他の多くのプロバイダーでこのトリックをテストした場合、Infobloxは、一部のプロバイダーがリクエストを明示的に拒否するか、リクエストが失敗することで、研究者が.arpaドメインの所有権を主張することを防いだことを発見しました。
CSOと管理者への助言
すべてのDNSおよびIPv6プロバイダーは、彼らのサービスがこの方法で悪用されないことを保証する必要があります、とMitchellは述べています。
IPv6トンネルプロバイダーは、サービスを求めている顧客を監査し、取得したアドレスが何に使用されているのかを決定していることを確認する必要があります。Mitchellが認めるように、これは容易ではないかもしれません。DNSプロバイダーは、DNSレコードが適切な目的でのみ作成されることを確認する必要があります。
CSOおよびドメインとネットワーク管理者は、保護的なDNSまたは次世代ファイアウォールがあっても、.arpaドメインは常に信頼できるように設定されていることを知る必要があります。彼らは、彼ら現在のセキュリティコントロールが悪用を識別するかどうかを理解する必要があります。「IP6.arpaに向かうDNSトラフィックを表示してください」と言うファイアウォールルールが役立つように、そのリンクからウェブトラフィックがどこに向かっているかを追跡することも役立ちます。また、管理者は、組織のメールセキュリティベンダーがメールメッセージ内でこれらのストリームをフラグに設定しているかどうかを確認する必要があります。
ゲートウェイプロバイダーは、画像またはHTTPリンクに埋め込まれた.ip6.arpaで終わる長い文字列を探し、隔離する必要があります、とMitchellは付け加えました。
エンタープライズネットワークは、すでにDNS監視をプライマリネットワーク検出および防衛リソースとして展開すべきです、とSANS InstituteのディレクターであるJohannes Ullrichは述べています。これにより、疑わしいレコードを簡単に通知し、ブロックできるはずです、と彼は述べています。
彼は、「.arpa」クエリは通常、逆引きのためのポインタ(PTR)クエリであることを指摘しました。悪意のあるクエリでは、通常のアドレス(AまたはAAAA)クエリが使用されます。ホスト名も非定型になります。通常のin-addr.arpaホスト名は、IPアドレスの後にin-addr.arpaサフィックスが続く非常に具体的な形式を持っています。そのサフィックスを持つ他の何かはブロックされるべき、またはせめてアラートされるべきです、と彼は述べています。
「インターネットの進化の複雑さの中から脆弱性を見つけるための素晴らしい、昔風の動きです」と、カナダのセキュリティ認識トレーニングプロバイダーBeauceron Securityの責任者であるDavid Shipleyは述べています。「ウェブの最新部分であるIPv6と、最も古いArpanetを組み合わせる方法を理解することは、今年これまでで最も興味深いハックの1つとして適格かもしれません。
「これらが比較的基本的な詐欺タイプのフィッシングに使用されたという事実は、最近誰かがこのトリックを学んだ結果である可能性が高いですが、私の直感では、より洗練されたグループによってはるかに長期間悪用されており、より標的型の攻撃に使用されています。このような賢いハックは、ベンダーが99.9%のフィッシングを停止すると言う次の機会に心に留めておくための素晴らしい証拠です」と彼は付け加えました。
