Dans le cadre d’une campagne de phishing, des pirates sont parvenus à détourner le domaine de premier niveau .arpa avec des adresses en IPv6. L’intérêt : bénéficier de la légitimité de ce domaine de premier niveau pour ne pas être détecté par les solutions de sécurité.

Le domaine .arpa : du reverse DNS au phishing

Pour bien comprendre cette attaque, il faut d’abord faire quelques rappels sur le rôle du domaine de premier niveau. Si vous êtes un administrateur système, cela devrait tout de suite vous faire penser aux requêtes DNS liées aux recherches DNS inversées (les enregistrements PTR). En effet, ces requêtes permettent tout simplement de faire correspondre une adresse IP à un nom d’hôte, soit l’inverse du fonctionnement classique du DNS.

Pour l’IPv4, on utilise le sous-domaine , et pour l’IPv6, c’est la zone qui entre en jeu. Si vous avez configuré une zone de recherche inversée sur votre DNS, vous pourrez le constater. Par exemple, le nom DNS est associé à l’adresse IP (DNS Cloudflare). Si vous interrogez le DNS sur l’adresse IP (avec nslookup, par exemple), il indiquera le nom d’hôte associé, à savoir .

Les chercheurs en sécurité de chez Infoblox ont mis en ligne un rapport pour évoquer une nouvelle campagne de phishing où les noms de domaine s’appuient sur la zone . Comme l’explique ce rapport, les pirates commencent par faire l’acquisition d’un bloc d’adresses IPv6, généralement via des services de tunneling. Ils enregistrent ensuite la zone reverse DNS correspondante à ce bloc en tant que domaine, ce qui leur permet de créer des enregistrements classiques chez certains fournisseurs DNS.

Les attaquants ont notamment profité de la notoriété de certains prestataires pour passer sous les radars des mécanismes de vérification de la réputation de domaine. Les chercheurs d’Infoblox précisent : “Nous avons vu des acteurs malveillants abuser d’Hurricane Electric et de Cloudflare pour créer ces enregistrements — qui ont tous deux une bonne réputation dont les acteurs tirent parti — et nous avons confirmé que d’autres fournisseurs DNS autorisent également ces configurations.”

Une mécanique furtive pour tromper les passerelles de messagerie

La question que l’on peut se poser, c’est comment l’utilisateur final se fait-il piéger avec ces noms de domaine ? Il est question de phishing, donc la victime reçoit un e-mail avec un leurre : récompense suite à un sondage, fausse notification d’alerte, etc…. Vous connaissez la chanson.

Le piège se situe dans les images intégrées au message. Au lieu de pointer vers un nom de domaine “habituel”, le lien de l’image pointe vers un enregistrement IPv6 sur la zone DNS inversée. Par exemple : .

Il est question ici d’une image, donc ce nom n’apparaît pas aux yeux de l’utilisateur. Il est visible uniquement dans le code HTML de l’e-mail. Pour les pirates, l’intérêt est donc de déjouer les outils de sécurité pour atteindre l’utilisateur qui pourra se faire tromper par le contenu en lui-même.

Voici ce qui rend l’utilisation du TLD .arpa différente :

• Absence de données WHOIS : le TLD est associé à la gestion technique de l’infrastructure réseau d’internet. De ce fait, il ne contient pas les métadonnées habituelles (âge du domaine, informations de contact) qui sont souvent utilisées par les passerelles de protection de la messagerie pour évaluer la dangerosité d’un lien.
• Filtrage rigoureux des cibles : lorsqu’un utilisateur clique, son clic passe par un système de distribution de trafic. Ce dernier vérifie son adresse IP, son type d’appareil ou ses referers web pour s’assurer qu’il s’agit bien d’une vraie victime et non d’un robot d’analyse d’un éditeur antivirus. S’il valide les tests, il atterrit sur le site de phishing. Dans le cas contraire, il est renvoyé vers un site légitime.
• Durée de vie réduite : ces liens malveillants ne sont actifs que quelques jours. Une fois la campagne terminée, des modifications sont effectuées pour rediriger les visiteurs vers des sites légitimes. Une technique destinée à brouiller les pistes.

Le rapport complet des chercheurs d’Infoblox est disponible sur cette page de leur site.

Source