- 13,854
- 20
- 8 Ноя 2022
Какая цель движет хакерами и зачем они используют столь необычные методы?
Исследователи кибербезопасности раскрыли деятельность китайской группы под кодовым названием SecShow, которая проводит глобальные атаки через систему доменных имён ( DNS ) с июня 2023 года.
Для просмотра ссылки Войдиили Зарегистрируйся экспертов компании Infoblox , SecShow работает через китайскую образовательно-исследовательскую сеть (CERNET), активно финансируемую местным правительством.
«Эти атаки направлены на обнаружение и измерение ответов DNS на открытых резолверах», говорится в отчёте. «Конечная цель операций SecShow неизвестна. Собранная сейчас информация хоть и может использоваться в злонамеренных целях, но пока что полезна только для самих атакующих».
Есть предположения, что операция может быть связана с научными исследованиями, включающими измерения с использованием IP -спуфинга на доменах «secshow[.]net», аналогично проекту Closed Resolver Project. Однако это порождает ещё больше вопросов, включая цель сбора данных и смысл использования общего Gmail-адреса для обратной связи.
Открытые резолверы — это DNS-серверы, которые могут принимать и обрабатывать доменные имена от любого пользователя в Интернете, что делает их уязвимыми для DDoS -атак, таких как DNS-усиление (DNS Amplification).
Основой атак является использование серверов имён CERNET для идентификации открытых DNS-резолверов и расчёта DNS-ответов. Процесс включает отправку DNS-запроса с неопределённого источника на открытый резолвер, заставляя сервер имён SecShow возвращать случайный IP-адрес.
Интересно, что эти серверы имён настроены возвращать новый случайный IP-адрес при каждом запросе с другого открытого резолвера, что вызывает увеличение числа запросов благодаря программному продукту Cortex Xpanse от Palo Alto.
«Cortex Xpanse рассматривает доменное имя в DNS-запросе как URL и пытается получить контент с случайного IP-адреса для этого доменного имени», — объясняют исследователи. «Межсетевые экраны, такие как Palo Alto и Check Point, а также другие устройства безопасности, выполняют фильтрацию URL при получении запроса от Cortex Xpanse».
Этот процесс фильтрации инициирует новый DNS-запрос для домена, что заставляет сервер имён возвращать другой случайный IP-адрес, создавая бесконечный цикл запросов.
Некоторые аспекты этих сканирований ранее уже были раскрыты исследователями Для просмотра ссылки Войдиили Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся В то же время, сервера имён SecShow перестали отвечать на запросы с середины мая 2024 года.
«В данный момент известного воздействия на сети клиентов нет, за исключением незначительного увеличения активности разрешения DNS для определения, является ли домен злонамеренным», — сообщили эксперты Palo Alto Networks. «Xpanse имеет возможность исключать определённые домены, и по мере идентификации новых командных серверов они добавляются в список блокировки. Мы продолжим внимательно следить и добавлять в блок-лист релевантные домены».
SecShow является второй китайской группой злоумышленников после Muddling Meerkat, выполняющим масштабные DNS-атаки. «Запросы Muddling Meerkat смешивались с глобальным DNS-трафиком и оставались незамеченными более четырёх лет, в то время как запросы SecShow прозрачны и включают информацию об IP-адресах и измерительной информации», — пояснили исследователи.
Исследователи кибербезопасности раскрыли деятельность китайской группы под кодовым названием SecShow, которая проводит глобальные атаки через систему доменных имён ( DNS ) с июня 2023 года.
Для просмотра ссылки Войди
«Эти атаки направлены на обнаружение и измерение ответов DNS на открытых резолверах», говорится в отчёте. «Конечная цель операций SecShow неизвестна. Собранная сейчас информация хоть и может использоваться в злонамеренных целях, но пока что полезна только для самих атакующих».
Есть предположения, что операция может быть связана с научными исследованиями, включающими измерения с использованием IP -спуфинга на доменах «secshow[.]net», аналогично проекту Closed Resolver Project. Однако это порождает ещё больше вопросов, включая цель сбора данных и смысл использования общего Gmail-адреса для обратной связи.
Открытые резолверы — это DNS-серверы, которые могут принимать и обрабатывать доменные имена от любого пользователя в Интернете, что делает их уязвимыми для DDoS -атак, таких как DNS-усиление (DNS Amplification).
Основой атак является использование серверов имён CERNET для идентификации открытых DNS-резолверов и расчёта DNS-ответов. Процесс включает отправку DNS-запроса с неопределённого источника на открытый резолвер, заставляя сервер имён SecShow возвращать случайный IP-адрес.
Интересно, что эти серверы имён настроены возвращать новый случайный IP-адрес при каждом запросе с другого открытого резолвера, что вызывает увеличение числа запросов благодаря программному продукту Cortex Xpanse от Palo Alto.
«Cortex Xpanse рассматривает доменное имя в DNS-запросе как URL и пытается получить контент с случайного IP-адреса для этого доменного имени», — объясняют исследователи. «Межсетевые экраны, такие как Palo Alto и Check Point, а также другие устройства безопасности, выполняют фильтрацию URL при получении запроса от Cortex Xpanse».
Этот процесс фильтрации инициирует новый DNS-запрос для домена, что заставляет сервер имён возвращать другой случайный IP-адрес, создавая бесконечный цикл запросов.
Некоторые аспекты этих сканирований ранее уже были раскрыты исследователями Для просмотра ссылки Войди
«В данный момент известного воздействия на сети клиентов нет, за исключением незначительного увеличения активности разрешения DNS для определения, является ли домен злонамеренным», — сообщили эксперты Palo Alto Networks. «Xpanse имеет возможность исключать определённые домены, и по мере идентификации новых командных серверов они добавляются в список блокировки. Мы продолжим внимательно следить и добавлять в блок-лист релевантные домены».
SecShow является второй китайской группой злоумышленников после Muddling Meerkat, выполняющим масштабные DNS-атаки. «Запросы Muddling Meerkat смешивались с глобальным DNS-трафиком и оставались незамеченными более четырёх лет, в то время как запросы SecShow прозрачны и включают информацию об IP-адресах и измерительной информации», — пояснили исследователи.
- Источник новости
- www.securitylab.ru
