【安全资讯】黑客滥用.arpa域名与IPv6反向DNS规避钓鱼防御

概要：

在日益复杂的网络威胁环境中，攻击者不断寻找新的方法来绕过传统安全检测。近期，安全研究人员发现一起精心设计的网络钓鱼活动，其核心在于滥用本应用于互联网基础设施的“.arpa”顶级域名和IPv6反向DNS查询机制。这种技术利用域名信誉检查和邮件安全网关对.arpa域名的信任，使得恶意链接更难以被识别和拦截，对全球范围内的组织和个人构成了新的安全挑战。

主要内容：

威胁行为者通过IPv6隧道服务获取IPv6地址块，从而控制了相应地址空间的反向DNS区域。他们并未按常规配置PTR记录，而是利用某些DNS管理平台（如Hurricane Electric和Cloudflare）的配置漏洞，为这些反向DNS域名创建了指向钓鱼网站基础设施的A记录。攻击者生成了大量随机的子域名，使得恶意.arpa域名难以被检测或封堵。

钓鱼邮件中的诱饵（如中奖通知、调查奖励）被嵌入为图片，其链接指向类似“d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa”的反向DNS记录，而非常规主机名。当受害者点击图片时，其设备会通过DNS提供商解析攻击者控制的域名服务器，最终可能被重定向至钓鱼网站。

此攻击之所以能成功规避检测，关键在于.arpa域名的特殊性。该域名专用于互联网基础设施，缺乏普通注册域名的WHOIS信息、域名年龄等元数据，使得基于信誉的安全工具难以评估其风险。此外，攻击者还结合使用了CNAME记录劫持和子域名劫持等技术，进一步利用了知名机构的信誉。钓鱼链接通常仅活跃数天，过期后即重定向至错误页面或合法网站，增加了安全分析的难度。