Sitting Ducks: разбираемся в уязвимости, которая позволяет хакерам (и не только им) захватывать чужие домены

Кто бы отказался подслушать чужой разговор, если он вдруг оказался слишком откровенным. Специалисты Infoblox случайно получили именно такую возможность, когда заметили, что у крупной схемы с браузерными пуш-уведомлениями «поехали» DNS-настройки. Ошибка оказалась настолько удачной для наблюдения, что на сервер исследователей начали приходить копии практически всех уведомлений, которые система рассылала пользователям по всему миру, вместе с внутренней статистикой.

Речь о коммерческой партнёрской сети, которая формально «доставляет рекламу» от партнеров. На практике же, судя по содержимому сообщений, это больше похоже на индустрию обмана и навязчивых приманок. За две недели исследователи собрали более 57 млн событий в логах. Там были сами объявления, запросы на обновление обслуживающего кода и действия пользователей, включая клики.

Самое интересное, что доступ получили не через взлом и не через перехват трафика в стиле AiTM. Исследователи воспользовались уязвимостью в организации DNS, которую раньше называли Sitting Ducks. Если кратко, домен настроен на внешние DNS-серверы, но те не знают о домене и не отвечают как нужно. Такое делегирование иногда позволяет постороннему прийти к DNS-провайдеру и «забрать» домен под своё управление, просто добавив корректные записи. В данном случае именно так и произошло, потому что оператор схемы забыл обновить одну из записей, а затем выяснилось, что подобных ошибок у него много.

Сначала исследователи перехватили один такой домен и уже через час получили лавину обращений от устройств жертв. Затем они нашли новые плохо настроенные делегации и расширили наблюдение почти до 120 доменов. В пиковые моменты на их инфраструктуру сыпалось до 30 МБ логов в секунду. По их оценке, у оператора было доменов как минимум на порядок больше, просто в выборку попала лишь часть.

Содержимое уведомлений объясняет, почему пользователи вообще на них «подписываются». Приманки давили на страх, надежду или любопытство, а также активно имитировали известные бренды и сервисы. Встречались сообщения от имени банков и платёжных систем, «оповещения» о блокировке аккаунтов, «вирусах», «поступлениях» и «выигрышах», а также кликбейт с намёками на скандалы, политиков и знаменитостей. Заголовки были более чем на 60 языках, а рассылка имела глобальный охват.

Масштаб спама оказался запредельным. Один подписчик в среднем получал около 140 уведомлений в день, а за время жизни подписки набегало примерно 7600 сообщений. При этом основная доля трафика приходилась на Азию, особенно на Южную Азию, на Бангладеш, Индию, Индонезию и Пакистан, вместе это около 50% наблюдаемой активности.

Парадокс в том, что при таком потоке кликов почти нет. Система сама закладывала оценку CTR прямо в параметры уведомлений, и эти оценки выглядели унизительно низкими. Лучший вариант, который встречался в данных, был примерно 1 к 175, но среднее значение было около 1 к 60 000. Реальные клики подтвердили картину. В 57 млн событий исследователи увидели всего 630 кликов, то есть порядка 1 к 80 000.

По логам получилось прикинуть и экономику. При модели оплаты за клики за 15 дней набралось всего $1,80. Основные деньги, судя по всему, шли через оплату за показы, и итоговая выручка по наблюдаемой части инфраструктуры оценена примерно в $350 в день. Это немного, и исследователи не исключают, что домены могли «бросить» просто из-за нерентабельности, хотя точного ответа нет.

Отдельная неприятная деталь в том, насколько много технической информации пересылалось в открытом виде. В логах были данные об устройстве и окружении, включая ОС, модель, провайдера, дату подписки, а также внутренние метки вроде идентификатора подписчика и разные признаки «антифрода», которыми платформа пыталась отличать реальных пользователей от любопытных исследователей. Всё это показывало внутреннюю кухню пуш-сети гораздо детальнее, чем обычно удаётся увидеть со стороны.

Авторы подчёркивают, что в этой истории они были пассивными наблюдателями. Они не управляли серверами злоумышленников и не вмешивались в доставку контента, а просто получали трафик из-за чужой DNS-ошибки. При этом исследование напоминает о куда более серьёзной стороне проблемы.

Тот же приём с «хромым делегированием» ежедневно используют и против обычных компаний, когда злоумышленники подбирают забытые домены и начинают принимать чужую почту или трафик. В качестве примера приводится группировка Vacant Viper, которая захватывает домены подобным способом и использует их в инфраструктуре 404TDS, известной раздачей вредоносных нагрузок. В изученной пуш-сети доставки вредоносного ПО исследователи, впрочем, не увидели, но сам риск от заброшенных доменов никуда не исчезает.