La tactique combine le tunneling IPv6 et l’abus de domaine pour rediriger les victimes vers des sites Web malveillants.
Un acteur malveillant a trouvé un nouveau moyen d’échapper aux défenses de détection du phishing : manipuler le domaine de premier niveau (TLD) .arpa et le tunneling IPv6 vers IPv4 pour héberger du contenu de phishing sur des domaines qui ne devraient pas être résolus en une adresse IP.
Pour les non-initiés, le domaine .arpa est un domaine de zone de paramètres d’adresse et de routage destiné à être utilisé exclusivement à des fins d’infrastructure Internet. Il s’agit principalement de mapper les adresses IP aux domaines, en fournissant des enregistrements inversés.
Cependant, selon un rapport d’Infoblox, un acteur malveillant a découvert une fonctionnalité dans le contrôle de gestion des enregistrements DNS d’au moins un fournisseur qui lui permet, au lieu d’ajouter les enregistrements PTR attendus, de créer des enregistrements A pour les noms DNS inversés.
« À partir de là », explique Infoblox, « ils peuvent faire ce qu’ils veulent chez l’hébergeur. C’est une astuce plutôt astucieuse. »
Infoblox a découvert cette astuce pour la première fois lorsqu’elle était utilisée contre un fournisseur DNS basé aux États-Unis appelé Hurricane Electric et le fournisseur de diffusion de contenu CloudFlare. Il a également confirmé que certains autres fournisseurs avaient été victimes d’abus et qu’il les avait informés du problème.
Cette tactique « peut certainement contourner un nombre important de plates-formes de sécurité », a déclaré Dave Mitchell, directeur principal de la recherche sur les menaces chez Infoblox, dans une interview. « Je pense que c’est définitivement un risque. »
Jusqu’à présent, Infoblox a détecté deux types de spam destinés aux consommateurs : un groupe prétend appartenir à de grandes marques de chaînes de rayons, de supermarchés et de quincaillerie, offrant un cadeau en répondant à une enquête. D’autres leurres prétendent que le service en ligne ou l’abonnement antimalware de la victime a été interrompu, ou que son quota de stockage cloud a été dépassé, et qu’elle doit payer pour restaurer le service. Mais Mitchell a déclaré qu’il n’y avait aucune raison pour que cette tactique ne puisse pas être utilisée pour des attaques de spear phishing contre des entreprises.
Dans les exemples qu’Infoblox a vu, lorsque la victime clique sur l’image du leurre – qui cache un lien hypertexte intégré – une série de redirections l’envoie vers une page de destination malveillante où la victime est invitée à saisir son numéro de carte de crédit, qui est capturé par le pirate informatique, pour soi-disant payer l’expédition du cadeau.
« L’abus du TLD .arpa est nouveau dans la mesure où il militarise une infrastructure implicitement fiable et essentielle au fonctionnement du réseau », indique le rapport Infoblox. « En utilisant des domaines DNS inversés IPv6 comme liens malveillants, l’acteur malveillant a découvert un mécanisme de diffusion qui contourne les outils de sécurité.
« L’impact est immédiat et ne peut être surestimé », ajoute le rapport. « La sécurité qui repose sur la détection des domaines suspects à l’aide d’éléments tels que la réputation, les informations d’enregistrement et les listes de blocage de politique est inefficace pour ces domaines. Ces domaines ont une réputation implicitement propre, aucune information d’enregistrement et ne sont généralement pas bloqués par une politique. «
(Contenu connexe : Une mauvaise hygiène DNS conduit au piratage de domaine)
Dans les exemples trouvés par Infoblox, l’attaquant a obtenu des adresses de tunneling IPV6 à IPV4 auprès de Hurricane Electric dans le cadre d’un service gratuit proposé par le fournisseur. Les clients du service sont autorisés à désigner le DNS dans l’espace alloué à un fournisseur DNS. Ce qui est alors censé se produire, c’est qu’un service informatique ou un individu utilise cet espace pour créer une zone DNS pour mapper les adresses IP aux noms – jones.com, smith.org, etc. Mais dans ces attaques, le pirate s’est tourné vers les serveurs de noms CloudFlare, a ajouté les allocations IPV6 .arpa et, au lieu de créer uniquement des enregistrements DNS inversés, ils ont créé des enregistrements DNS transférés vers des sites Web malveillants.
Cette tactique ne fonctionnera pas nécessairement avec tous les fournisseurs en raison de la manière dont leurs systèmes sont configurés, a déclaré Mitchell. Par exemple, en testant cette tactique sur un certain nombre d’autres fournisseurs, Infoblox a constaté que certains empêchaient ses chercheurs de revendiquer la propriété d’un domaine .arpa, soit en refusant explicitement la demande, soit en échouant.
Conseils aux OSC et aux administrateurs
Tous les fournisseurs DNS et IPV6 doivent s’assurer que leurs services ne sont pas abusés de cette façon, a déclaré Mitchell.
Les fournisseurs de tunnels IPV6 doivent s’assurer qu’ils auditent les clients qui demandent le service, en déterminant à quoi servent les adresses qu’ils obtiennent – ce qui, admet Mitchell, n’est peut-être pas facile. Les fournisseurs DNS doivent s’assurer qu’ils n’autorisent la création d’un enregistrement DNS qu’à des fins appropriées.
Les fournisseurs de passerelles doivent rechercher et mettre en quarantaine les longues chaînes se terminant par .ip6.arpa qui sont intégrées dans des images ou des liens HTTP, a ajouté Mitchell.
Les réseaux d’entreprise devraient déjà déployer la surveillance DNS comme principale ressource de détection et de défense du réseau, a déclaré Johannes Ullrich, doyen de la recherche à l’Institut SANS. Cela devrait faciliter l’alerte et éventuellement le blocage des enregistrements suspects, a-t-il déclaré.
Il a souligné que les requêtes « .arpa » sont généralement des requêtes de pointeur (PTR) pour les recherches inversées. Dans les requêtes malveillantes, des requêtes d’adresse normales (A ou AAAA) seront utilisées. Le nom d’hôte sera également atypique. Un nom d’hôte in-addr.arpa normal a un format très spécifique, avec une adresse IP suivie du suffixe in-addr.arpa. Tout ce qui porte ce suffixe devrait être bloqué, ou au moins alerté, a-t-il déclaré.
« C’est une démarche brillante et à l’ancienne pour trouver des vulnérabilités dans la complexité de l’évolution d’Internet », a déclaré David Shipley, responsable du fournisseur canadien de formation en sensibilisation à la sécurité Beauceron Security. « Pour comprendre comment combiner la partie la plus récente du Web, IPV6, avec la plus ancienne, Arpanet, pourrait être considérée comme l’un des hacks les plus intéressants jusqu’à présent cette année.
« Le fait qu’ils aient été utilisés pour des hameçonnages de type escroquerie assez basiques est probablement le résultat de l’apprentissage récent de cette astuce, mais mon instinct me dit que cette astuce est utilisée depuis bien plus longtemps, par des groupes beaucoup plus sophistiqués pour des attaques plus ciblées. Des piratages intelligents comme celui-ci sont une excellente preuve à garder à l’esprit la prochaine fois qu’un fournisseur déclare qu’il stoppe 99,9 % du phishing », a-t-il ajouté.
