Dynamic DNS szolgáltatók veszélye
A Silent Push új kutatása a Dynamic DNS (DDNS) szolgáltatók veszélyes kettős szerepét vizsgálja, miközben technikailag ártatlan funkciót kínálnak (dinamikus aldomainregisztrációt), számos rosszindulatú szereplő használja őket rejtett c2 szerverekként, phishing-oldalak és más kibertámadások infrastruktúrájaként. A cég elkészített egy adatbázist több mint 70 000 doménről, amelyek aldomain-bérleti szolgáltatást nyújtanak, és ezt ajánlja vállalati védelmi rendszerekbe integrálni, hogy olyan hostokat lehessen figyelni vagy blokkolni, amelyek viselkedésük miatt gyanúsak.
A posztban a szerzők részletezik, hogy a DDNS-szolgáltatók milyen különféle modellben működhetnek, van, hogy csak aldomainneveket biztosítanak (a tartalomra nincs közvetlen ráhatás), más esetben teljes hoszting és tartalomkezelés is elérhető, gyakran fizetős opcióként. Fontos megjegyzés, hogy ezek a rendszerek gyakorlatilag mini domainregisztrátorokként viselkednek, de sokkal lazább felügyelettel és kevesebb szabályozással.
A cikk kiemeli, hogy sok DDNS-szolgáltató elfogad kriptovalutás fizetést, nem kér KYC-adatokat, és nem mindig teljesíti az abuse-bejelentéseket. Ennek következtében a rosszindulatú aldomain-felhasználók viszonylag biztonsággal rejthetnek el hostjaikat. A Silent Push rámutat arra, hogy míg egy domain esetén két irányból (domainregisztrátor + hosting) lehet fellépni, az aldomainek esetében gyakran csak egy szint ellenőrizhető, így a takedown lehetősége korlátozott.
A blog néhány konkrét DDNS szolgáltatót is említ, mint például afraid.org, amely sokféle aldomainlemezt kínál, illetve felsorolja más, gyakran kihasznált szolgáltatókat: ChangeIP, CloudDNS, DNSexit, DuckDNS, DuiaDNS, DynDNS, Dynu, NowDNS, YDNS, NoIP és egy kisebb szolgáltató, az AttractSoft, amelyet Silent Push több ukrajnai támadásban azonosított.
A szerzők több ismert kibertámadó csoport használatát dokumentálják: Gamaredon rendszeresen alkalmaz DDNS-domainokat, Scattered Spider új kampányokban bérelt aldomaineket használ, 2025-ben TA406 is bevetett DDNS-doméneket Ukrajna elleni támadásokban, továbbá APT28 is erősen kötődik hasonló használathoz a korábbi jelentések szerint.
Védekezési javaslatként Silent Push azt javasolja, hogy szervezetek integrálják az általuk készített exportált DDNS-doménlistákat a belső védelembe – például riasztást állítsanak be minden kapcsolódásra ezekhez az aldomain nevekhez, vagy bizonyos esetekben blokkolják is az ilyen kapcsolatokat. Nem elég egyes aldomaineket kiemelni, mert gyakran egy szolgáltató aldomainjei sorban használhatók rossz célokra – ezért szolgáltató szintű figyelést is érdemes bevezetni.
RisFORRÁS
