威脅者在所謂的”Sitting Ducks”攻擊中劫持了35000 多個註冊域名，這些攻擊允許在無法訪問域名所有者在DNS 提供者或註冊商的帳戶的情況下申請域名。

在Sitting Ducks 攻擊中，網路犯罪分子利用註冊商一級的配置缺陷和DNS 提供者的所有權驗證不足。

以DNS 為重點的安全廠商Infoblox 以及韌體和硬體保護公司Eclypsium 的研究人員發現，透過Sitting Ducks 攻擊，每天有超過一百萬個網域可能被劫持。

多年來，多個俄羅斯網路犯罪集團一直在使用這項攻擊載體，並在垃圾郵件活動、詐騙、惡意軟體交付、網路釣魚和資料外滲中利用被劫持的網域名稱。

儘管Snap 公司的安全工程師Matthew Bryant）在2016 年首次記錄了使Sitting Ducks 成為可能的問題[1 , 2 ]，但與其他更知名的方法相比，該攻擊向量仍然是一種更容易劫持網域的方法。

要實現攻擊，需要滿足以下條件：

– 註冊網域使用或委託註冊商以外的供應商提供權威DNS 服務

– 記錄的權威名稱伺服器因缺乏網域資訊而無法解析查詢（跛腳授權）

– DNS 提供者需要允許在不適當驗證所有權或要求存取所有者帳戶的情況下申請域名

這種攻擊的變種包括部分無效授權（並非所有名稱伺服器都配置錯誤）和重新授權給另一家DNS 提供者。但是，如果滿足蹩腳授權和可利用的提供者條件，網域就會被劫持。

先決條件圖

Infoblox解釋說，攻擊者可以在使用與註冊商不同的供應商（如網站寄存服務）提供的權威DNS 服務的網域上使用Sitting Ducks 方法。

如果目標網域的權威DNS 或虛擬主機服務已過期，攻擊者只需在DNS 服務提供者建立帳戶，就可以申請該網域。

威脅者現在可以在該網域下建立一個惡意網站，並配置DNS 設置，將IP 位址記錄請求解析到假位址；而合法所有者將無法修改DNS 記錄。

Infoblox和Eclypsium報告稱，自2018 年和2019 年以來，他們觀察到多個威脅行為體利用”坐鴨”（或”現坐鴨”–DNS）攻擊載體。

從那時起，至少有35,000 起網域劫持案件使用了這種方法。通常情況下，網路犯罪分子持有網域的時間很短，但也有長達一年的情況。

也發生過同一網域先後被多個威脅行為者劫持的情況，這些威脅行為者在其行動中使用該網域一到兩個月，然後將其轉移。

GoDaddy 已被確認為Sitting Ducks 攻擊的受害者，但研究人員稱，目前還有六家DNS 供應商存在漏洞。

觀察到的利用”坐地鴨”的活動集群概述如下：

“垃圾熊“–2018 年底劫持GoDaddy 網域用於垃圾郵件活動。

“Vacant Viper “–2019年12月開始使用Sitting Ducks，此後每年劫持2500次，用於分發IcedID的404TDS系統，並為惡意軟體設定命令和控制（C2）域。

VexTrio Viper “–2020年初開始使用”Sitting Ducks”，在大型流量分配系統（TDS）中使用域名，為SocGholish和ClearFake行動提供便利。

未具名行為者– 一些規模較小且未知的威脅行為者創建了TDS、垃圾郵件分發和網絡釣魚網絡。

網域擁有者應定期檢查其DNS 配置是否有防護不足的授權，尤其是較老的域名，並在註冊商或權威名稱伺服器上更新授權記錄，提供適當的、活躍的DNS 服務。

建議註冊商主動檢查包含弱電點的授權，並提醒所有者。他們還應確保在傳播名稱伺服器授權之前已建立DNS 服務。

最終，監管機構和標準機構必須制定長期策略來解決DNS 漏洞問題，並迫使其管轄範圍內的DNS 提供者採取更多措施來減少Sitting Ducks 攻擊。