【安全资讯】DNS捕食者利用“坐鸭”攻击劫持域名并扩展网络操作

概要：

近期Infoblox Threat Intel的报告揭示了一种被低估但普遍存在的网络威胁——“坐鸭”攻击。这种域名劫持技术使网络犯罪分子能够利用受信任的域名进行恶意活动。报告估计，超过100万个域名可能存在漏洞，其中已有70,000个被确认劫持。该攻击手段的普遍性和对组织的风险远超最初的报告。

主要内容：

“坐鸭”攻击利用了一种被称为“懒惰委派”的漏洞，攻击者通过将域名的名称服务器指向错误的权威名称服务器，从而控制域名及其DNS记录。一旦受害者域名被攻陷，攻击者便可建立攻击基础设施，规避现有的检测机制。被劫持的域名因其良好的声誉，常常被安全控制视为安全或良性，从而使用户连接到被武器化的网站。

Infoblox的研究发现，超过800,000个域名存在漏洞，约70,000个已被劫持。这些被劫持的域名被用于多种恶意目的，包括：

1. 恶意流量分发：如“Vacant Viper”组织利用劫持的域名增强其流量分发系统，传播恶意软件、垃圾邮件等内容。

2. 钓鱼活动：如“Hasty Hawk”组织利用劫持的域名托管仿冒合法品牌（如DHL或慈善组织）的钓鱼页面。

3. 投资欺诈：“Horrid Hawk”组织在复杂的投资欺诈计划中使用劫持的域名，以诱骗受害者承诺丰厚的政府项目。

报告强调，这些攻击的执行容易且难以检测，而“懒惰委派”作为一种漏洞缺乏官方认可，进一步加剧了问题。报告呼吁域名持有者、注册商和DNS提供商采取主动措施，以防止“坐鸭”攻击，强调正确配置和警惕性对于减轻这一日益严重的威胁至关重要。