Infoblox 威胁情报中心的网络安全研究人员发现了一场高度复杂的钓鱼攻击活动。攻击者利用互联网底层基础架构,成功绕过企业安全防护机制。
在一种新型规避手段中,攻击者将 .arpa 顶级域(TLD) 武器化,并通过 IPv6 隧道托管恶意钓鱼内容。
该手段可有效绕过传统的域名信誉检测,给网络防御系统带来全新且严峻的挑战。
与常见的 .com、.net 等公众顶级域不同,.arpa 域名是互联网基础设施专用保留域。
其核心用途是反向 DNS 解析,即将 IP 地址还原为域名。该域名从设计之初,就并非用于承载面向公网的网站或网页内容。
但攻击者发现,部分服务商的 DNS 记录管理系统存在重大安全盲区。
攻击者借助免费 IPv6 隧道服务,获取特定 IPv6 地址段的管理权限。
他们没有按规范创建反向 DNS 指针(PTR)记录,而是为这些 .arpa 子域名生成标准 A 记录。由此生成的合法域名会伪装成核心基础设施地址,而安全工具通常会默认信任此类域名,极少进行深度检查。
攻击链与被劫持的 CNAME
据 Infoblox 介绍,该攻击通常以仿冒知名品牌的垃圾邮件启动。
邮件内仅包含一张带超链接的图片,以免费礼品、订阅异常等话术诱导点击。受害者点击图片后,会被跳转至一套复杂的流量分发系统(TDS)。
该流量分发系统会对用户流量进行指纹识别,重点针对家庭网络环境下的移动设备,最终投放恶意载荷。
除滥用 .arpa 域外,该攻击还大量利用悬空 CNAME 劫持。攻击者攻陷了来自知名政府机构、媒体机构及高校的废弃子域名。
通过注册这些废弃 CNAME 仍指向的过期域名,攻击者可直接借用高信誉实体的域名口碑,掩盖其恶意流量。
Infoblox 威胁情报副总裁 Renée Burton 博士指出,将 .arpa 域名空间武器化,相当于把互联网核心基础设施变成了钓鱼攻击的分发通道。
由于反向 DNS 域名天生自带 “干净信誉”,且缺少常规注册信息,依赖 URL 结构与黑名单的传统安全工具完全无法检测。
企业必须开始将核心 DNS 基础设施视为潜在攻击面,并部署专用过滤策略,监控 .arpa 域名空间 内的异常记录新增行为。
发表评论
您还未登录,请先登录。
登录