Ancaman Pembajakan 'Sitting Ducks' Mengintai Jutaan Domain

Lebih dari satu juta domain terancam diambil alih oleh aktor jahat melalui teknik serangan yang dikenal sebagai Sitting Ducks. Analisis terbaru yang diterbitkan oleh Infoblox dan Eclypsium mengungkapkan bahwa lebih dari selusin aktor siber yang terkait dengan Rusia sedang mengeksploitasi kelemahan dalam domain name system (DNS) untuk secara diam-diam membajak domain.

Dalam serangan Sitting Ducks, penyerang membajak domain yang sudah terdaftar di layanan DNS otoritatif atau penyedia web hosting tanpa harus mengakses akun pemilik asli di penyedia DNS atau registrar. Teknik ini lebih mudah dilakukan, lebih mungkin berhasil, dan lebih sulit dideteksi dibandingkan dengan vektor serangan pembajakan domain lainnya yang telah dikenal, seperti CNAME yang menggantung.

Setelah domain berhasil dibajak oleh aktor ancaman, domain tersebut dapat digunakan untuk berbagai kegiatan jahat, termasuk penyebaran malware dan spam, yang memanfaatkan kepercayaan yang dimiliki oleh pemilik sah domain tersebut. Meskipun teknik ini pertama kali didokumentasikan oleh The Hacker Blog pada tahun 2016, teknik ini masih sebagian besar tidak diketahui dan belum terselesaikan hingga saat ini. Sejak tahun 2018, diperkirakan lebih dari 35.000 domain telah dibajak menggunakan teknik ini.

Dr. Renee Burton, wakil presiden intelijen ancaman di Infoblox, mengungkapkan bahwa banyak klien potensial sering bertanya tentang serangan CNAME yang menggantung, yang juga merupakan bentuk pembajakan catatan yang terlupakan, tetapi tidak pernah ada yang bertanya tentang pembajakan Sitting Ducks. Hal ini menunjukkan bahwa serangan Sitting Ducks masih kurang diketahui meskipun bahayanya yang signifikan.

Masalah utama dalam serangan ini adalah konfigurasi yang salah di registrar domain dan verifikasi kepemilikan yang tidak memadai di penyedia DNS otoritatif. Ditambah lagi, server nama tidak dapat merespons secara otoritatif untuk domain yang terdaftar untuk dilayani, yang dikenal sebagai delegasi yang lemah. Selain itu, penyerang dapat mengeksploitasi penyedia DNS otoritatif yang rentan, mengklaim kepemilikan domain di penyedia DNS otoritatif yang didelegasikan tanpa harus mengakses akun pemilik yang sah di registrar domain.

Dalam skenario ini, jika layanan DNS otoritatif untuk domain tersebut kedaluwarsa, aktor ancaman dapat membuat akun dengan penyedia tersebut dan mengklaim kepemilikan domain, akhirnya menyamar sebagai pemilik sah untuk mendistribusikan malware. Ada banyak variasi dari serangan Sitting Ducks, termasuk situasi di mana domain telah terdaftar dan didelegasikan tetapi belum dikonfigurasi di penyedia.

Selama bertahun-tahun, serangan Sitting Ducks telah dimanfaatkan oleh berbagai aktor ancaman, dengan domain yang dicuri digunakan untuk berbagai sistem distribusi lalu lintas (TDS) seperti 404 TDS (alias Vacant Viper) dan VexTrio Viper. Teknik ini juga digunakan untuk menyebarkan hoaks ancaman bom dan pemerasan seksual, yang merupakan aktivitas yang dilacak sebagai Spammy Bear.

Untuk melindungi diri dari ancaman ini, organisasi harus memeriksa domain yang mereka miliki untuk memastikan tidak ada yang berada dalam kondisi lemah dan menggunakan penyedia DNS yang memiliki perlindungan terhadap serangan Sitting Ducks. Hal ini sangat penting untuk mencegah penyalahgunaan domain yang dapat merusak reputasi dan menyebabkan kerugian besar.

Pakar keamanan siber menyarankan agar perusahaan secara rutin melakukan audit terhadap domain yang mereka miliki. Dengan melakukan audit, mereka dapat mengidentifikasi domain yang mungkin telah didelegasikan tetapi tidak dikonfigurasi dengan benar. Selain itu, memilih penyedia DNS yang memiliki fitur keamanan tambahan dan yang proaktif dalam menangani potensi ancaman juga merupakan langkah yang bijak.

Menghadapi ancaman siber yang semakin canggih, penting bagi setiap organisasi untuk meningkatkan kewaspadaan mereka. Pelatihan keamanan siber bagi karyawan, terutama yang menangani administrasi domain, juga dapat membantu mencegah kesalahan konfigurasi yang dapat dieksploitasi oleh penyerang. Di era digital saat ini, menjaga keamanan domain adalah salah satu langkah penting dalam melindungi integritas dan kepercayaan yang telah dibangun dengan pelanggan dan mitra bisnis.

Langkah-langkah pencegahan lainnya termasuk mengaktifkan autentikasi dua faktor (2FA) untuk akun yang terkait dengan manajemen domain, serta memantau aktivitas yang mencurigakan yang mungkin menunjukkan upaya pembajakan. Dengan pendekatan yang proaktif dan komprehensif, organisasi dapat mengurangi risiko terkena serangan Sitting Ducks dan melindungi aset digital mereka dari eksploitasi yang merugikan.