En un mundo en el que los entornos de red son cada vez más abiertos e híbridos, la gestión de DNS es cada vez más compleja y expuesta a riesgos. Como elemento clave de la infraestructura de red a escala mundial, el Sistema de Nombres de Dominio (DNS) está en el punto de mira de los cibercriminales, que tratan de aprovechar cualquier brecha de seguridad que puedan encontrar en el sistema, incluyendo configuraciones de DNS olvidadas o mal configuradas.
Recientemente ha salido a la luz un poderoso vector de ataque en el sistema de nombres de dominio, y se ha descubierto que está siendo ampliamente explotado por actores maliciosos a través de múltiples proveedores de DNS. Este vector de ataque, conocido como Sitting Ducks Attack, saca partido de configuraciones incorrectas implementadas por el registrador de dominios y en la falta de medidas de prevención adecuadas por parte del proveedor de DNS. Hay diversas variantes de este ataque, ninguna de las cuales requiere que el atacante registre un dominio por sí mismo, lo que lo hace que este ataque sea radicalmente distinto a los ataques de secuestro de dominios (domain hijacking) de los que se habla habitualmente.
El procedimiento mediante el cual se secuestran dominios se basa en el uso de técnicas Sitting Ducks sigue siendo un tema poco divulgado entre la comunidad de ciberseguridad
El procedimiento mediante el cual se secuestran dominios se basa en el uso de técnicas Sitting Ducks sigue siendo un tema poco divulgado entre la comunidad de ciberseguridad. Las amenazas contra DNS que se suelen hacer públicas, a menudo son consideradas como inevitables y no reciben el mismo nivel de atención y de acciones correctivas que reciben brechas de seguridad en el software, lo que genera una superficie de ataque perfecta para actores maliciosos. Pocos investigadores de amenazas están familiarizados con este vector de ataque y el conocimiento sobre el mismo es escaso.
Sin embargo, la importancia de estos ataques y el riesgo que suponen para las organizaciones son mucho mayores de lo que en un principio se ha creído. Más de una docena de actores cibercriminales con vinculaciones con Rusia están utilizando este vector de ataque para secuestrar nombres de dominio sin ser detectados. El pronóstico es aún peor: una investigación reciente estima que hay más de 1 millón de dominios registrados vulnerables, confirma el uso generalizado de este tipo de técnicas y prueba que múltiples actores las están aprovechando para reforzar sus campañas maliciosas.
Hay más de 1 millón de dominios registrados vulnerables
Pero, ¿por qué el secuestro de dominios mediante técnicas Sitting Ducks Attack se está extendiendo tan rápidamente? Hay tres elementos clave que explican este notable éxito:
- Son fáciles de ejecutar. Como se mencionó anteriormente, este ataque aprovecha las configuraciones incorrectas en la configuración de DNS de un dominio, específicamente cuando el servidor de dominio apunta a un servidor de nombres autorizado (Authoritative DNS Server) incorrecto. El actor malicioso secuestra un dominio que está registrado en un servicio DNS autorizado o un proveedor de alojamiento web sin necesidad de acceder a la cuenta del verdadero propietario ni en el proveedor de DNS ni en el registrador. Una vez que el actor tiene el control del dominio, puede llevar a cabo cualquier tipo de actividad maliciosa bajo la apariencia del propietario legítimo. Esto incluye la distribución de malware, campañas de phishing, suplantación de marca y exfiltración de datos. A eso hay que sumarle el hecho de que los dominios susceptibles de ser explotados no son raros, son más comunes de lo que se podría pensar. Las barreras técnicas de entrada, relativamente bajas, que se necesitan para ejecutar un ataque Sitting Ducks junto con la opacidad de los pasos posteriores a la intrusión pueden atraer a muchos más grupos cibercriminales, lo que provoca un crecimiento en el número de casos de ataque.
- Falta de reconocimiento como amenaza por parte de la industria. La vulnerabilidad de configuración de la que se aprovecha este ataque, conocida como ‘lame delegation’ no está reconocida como parte de las vulnerabilidades o brechas oficiales (Common Vulnerabilities and Exposures, CVE) por las principales autoridades de seguridad como CISA. Ocho años después de su primera publicación, el vector de ataque sigue siendo en gran medida desconocido y no se ha resuelto esta situación.
- Difícil de detectar. Una vez que el dominio de una víctima se ve comprometido, los actores pueden configurar una infraestructura de ataque capaz de evadir las detecciones existentes. La reputación positiva de los dominios secuestrados permite que los controles de seguridad los consideren seguros o benignos, lo que permite a los usuarios conectarse a sitios que ya están comprometidos e infectados.
De hecho, este ataque es tan provechoso para los actores maliciosos que se han detectado secuestros en los que el mismo dominio es secuestrado de forma iterativa por múltiples actores a lo largo del tiempo. Esto sucede porque los actores de amenazas suelen buscar proveedores de servicios susceptibles de ser explotados y que ofrecen cuentas gratuitas, como DNS Made Easy, que funcionan como bibliotecas de préstamo, y que les permiten “tomar prestado” (secuestrar) dominios durante 30 a 60 días. También se han visto casos en los que los actores retienen el dominio durante un período prolongado. Después de que la cuenta gratuita expira, el primer actor de amenazas “pierde” el dominio y otro actor de amenazas lo registra, y así sucesivamente.
Si bien los ataques Sitting Ducks son relativamente fáciles de realizar y difíciles de detectar, la buena noticia es que también se pueden prevenir totalmente utilizando configuraciones correctas, tanto a nivel de registrador de dominios como de proveedor de DNS. Las configuraciones incorrectas de DNS se producen por diversos factores, y los actores implicados pueden tomar medidas para que esto no suceda. El titular del dominio es el responsable de las configuraciones de su dominio, y tanto los registradores como los proveedores de DNS pueden hacer que este tipo de secuestros sean más difíciles de realizar o más fáciles de remediar. En resumen: DNS es la columna vertebral de Internet, pero a menudo se olvida que por este motivo es una superficie de ataque estratégica y no recibe la atención que merece. Esta es la razón por la que hoy en día es más necesario que nunca implementar estrategias que garanticen una gestión segura y protectora del sistema de nombres de dominio.
