工业控制系统供应商对域名蹲下而粗心粗心
许多公司通过注册自己的域名来保护他们的品牌,但工业控制系统的制造商Don“T似乎已经遵循了衣服,可能会让客户开放攻击。
安全咨询咨询公司的研究人员发现了433所谓的“蹲”域,其名称与11个工业制造商的名称相似,并且由未知的第三方注册。一些域名一直在托管骗局,恶意重定向和恶意软件。
攻击者因各种原因参与域蹲:举办网络钓鱼页面,以窃取凭证,直接意外访问者对恶意软件,从品牌的流行者展示广告,或将域名销售给品牌所有者进行大量费用。
通过塑造工业控制系统供应商的域名,攻击者可以将工厂,公用事业和石油和天然气炼油厂欺骗下载恶意软件或修改的固件,将关键资产造成风险。作为IC的一个组成部分的监督控制和数据采集(SCADA)系统是对黑客的越来越有趣的目标,特别是那些寻求物理损坏的人。
浏览域名包括由拼写错误导致的域名,例如“goople.com,”或依赖同族字符 - 类似的寻找字符 - 例如零而不是大写“o”。
攻击者还使用称为BITSQUATTing的技术,该技术涉及注册由原始钻头不同的域名,然后依赖于硬件中的内存损坏错误以引导用户。
在每个DNS查找或HTTP请求期间,域名存储在计算机的RAM中,作为二进制代码 - 0S和1S的序列。如果计算机的存储器已损坏,例如由于内存模块故障,则可能会切割一个或多个位。
例如,在Google.com和Googme.com之间有一个1位差异 - 二进制中的字母“L”的表示为01101100,“M”为01101101。因此,在内存中加载的计算机上的计算机上有点错误可能导致用户的浏览器到googme.com。
从单台计算机的角度来看,位错误很少见。但是,互联网上有许多设备,并且通常在任何时候都有多个域名的实例。因此,吸引意外访客的位点的可能性并不可忽略不可忽略。
攻击者似乎意识到这一点。据执行ICS域调查的数字债券实验室主任据Reid Wightman称,BitSuting是用于生成所识别的蹲轨的第三种最常见的技术,占433个域名的20%。
Wightman于周四在维也纳的S4Xeurope会议上展示了他的发现。
他还发现,433个域名的193年有一个邮件交换(MX)唱片康颇,这意味着他们能够收到电子邮件。
在那些193个域中,对于任何用户接受了22个已接受的电子邮件,即使收件人地址是否存在。这意味着,至少原则上,他们的所有者可以拦截发送给真正的ICS供应商的私人电子邮件。
在一个案例中,Wightman在他测试发送电子邮件到该域下的制定电子邮件地址后几个月收到了来自Slemens.com(Slemens.com)的网络钓鱼电子邮件。在某些时候,同一个域托管恶意软件。
另一个域名Siemsns.com被发现托管,在不同的时间,Tech支持骗局通往远程访问特洛伊木马安装程序,以浏览器扩展和流氓调查的形式的广告软件。
事实上,Wightman在433个Squat域发现了254个Live Hosts Conpd。几乎一半的他们托管了广告或销售页面,但其中二十八个人执行了可疑重定向和10个托管恶意软件。
研究人员没有找到专门针对工业控制系统的任何恶意程序,但他找到了Windows和OS X的恶意软件,包括先前未知的OS X威胁,在防病毒产品中具有零检测率。
“有人会与这个令人讨厌”,并专门针对ICS所有者,威士曼说。
例如,攻击者可以注册浏览域并模仿真正的供应商网站的固件更新的深度链接结构。他说,如果将这样的链接分发给用户可以使域名不匹配到现货。
在合法的情况下,一旦发生域名蹲下,它可能是艰难和昂贵的,因为它们需要提出投诉并证明商标侵权,或者从现有所有者购买蹲下域名进行大量资金。事实上,许多寮屋者注册了这样的域名,以便以后将他们卖给品牌所有者进行大量利润。
对于公司早期注册潜在的Squat域并保护其品牌免受潜在滥用来说,它更容易和更便宜。有没有DNSTWIST的工具,该工具可以用于识别可能影响它们的潜在蹲坐域。