Sommario
Recenti ricerche condotte da Infoblox Threat Intel, in collaborazione con Dave Mitchell, hanno rivelato un’operazione di probing del sistema dei nomi di dominio (DNS) su scala globale che prende di mira i resolver aperti. Questa operazione, iniziata a giugno 2023, utilizza server DNS nella rete cinese di educazione e ricerca (CERNET) per identificare i resolver aperti e misurare le loro risposte a diversi tipi di query.
Cos’è Secshow?
Secshow è il nome attribuito a un attore cinese operante dalla rete CERNET, che conduce operazioni di probing DNS su scala globale. Questi probe mirano a trovare e misurare le risposte DNS di resolver aperti, dispositivi che, tipicamente a causa di configurazioni errate, risolvono o inoltrano qualsiasi query DNS ricevuta su internet. I resolver aperti rappresentano una vulnerabilità significativa e sono frequentemente utilizzati per attacchi di tipo Distributed Denial-of-Service (DDoS).
Dettagli dell’Operazione Secshow
Le operazioni di probing di Secshow si distinguono per la loro dimensione e l’invasività delle query. Utilizzando server dei nomi di dominio all’interno della CERNET, Secshow restituisce indirizzi IP casuali per una grande percentuale di query, innescando un’amplificazione delle query da parte del prodotto Cortex Xpanse di Palo Alto. Questo comportamento inquina le raccolte di DNS passivi a livello globale e ostacola la capacità di condurre ricerche affidabili sugli attori malevoli.
Secshow invia query DNS a indirizzi IP distribuiti globalmente, inclusi IPv4 e IPv6, con informazioni codificate come l’indirizzo IP target e un timestamp. Le risposte a queste query possono variare, inclusi la risoluzione della query da parte di un resolver aperto, la generazione di risposte ICMP o l’inoltro della query a un altro resolver.
Amplificazione di Cortex Xpanse
L’amplificazione delle query di Secshow da parte di Cortex Xpanse è dovuta alla combinazione di indirizzi IP casuali restituiti dai server dei nomi di dominio e il comportamento di Xpanse. Quando Cortex Xpanse rileva una risposta DNS, tenta di recuperare contenuti dall’indirizzo IP casuale, innescando ulteriori query DNS. Questo ciclo può trasformare una singola query di Secshow in un ciclo infinito di query, aumentando il traffico DNS in reti globali.
Impatto e Mitigazione
L’operazione Secshow ha creato un notevole impatto sulle reti dei clienti di Infoblox, con un aumento quasi di 200 volte delle query di Secshow in gennaio 2024. Per mitigare i rischi posti dai resolver aperti, è fondamentale identificarli e chiuderli. Le query per i domini Secshow nei log DNS possono indicare la presenza di un resolver aperto nella rete o scansioni effettuate da Cortex Xpanse.
Strategie di Mitigazione
- Identificazione e Chiusura dei Resolver Aperti: Individuare e chiudere i resolver aperti nella rete per ridurre le vulnerabilità.
- Filtraggio dei Contenuti e Rilevamento delle Anomalie: Implementare meccanismi avanzati di filtraggio dei contenuti e algoritmi di rilevamento delle anomalie per bloccare le attività sospette.
- Autenticazione degli Utenti: Rafforzare i protocolli di autenticazione per prevenire accessi non autorizzati.
L’operazione Secshow, analizzata da Infobox, evidenzia la potenza del probing DNS effettuato da un attore con accesso alla dorsale di internet. Le attività di probing su larga scala di Secshow hanno cercato informazioni sulle configurazioni dei resolver aperti e delle reti, utilizzabili per attività malevoli. L’amplificazione delle query di Secshow da parte di Cortex Xpanse ha ulteriormente complicato l’analisi delle minacce, richiedendo misure di mitigazione proattive da parte delle organizzazioni.
