Lạm Dụng TLD .arpa: Khai Thác Hạ Tầng DNS Để Phát Tán Phishing
Tổng Quan
Các chiến dịch phishing email hiện nay rất phổ biến, nhưng nhóm nghiên cứu Infoblox vừa phát hiện một phương pháp hoàn toàn mới, chưa từng được báo cáo trước đây, nhằm vượt qua các biện pháp kiểm soát bảo mật. Kỹ thuật này lợi dụng TLD .arpa — một phần hạ tầng cốt lõi của DNS — kết hợp với IPv6 tunnel để host nội dung phishing trên các domain về lý thuyết không được phép phân giải ra IP address.
Kỹ Thuật Tấn Công
Chi Tiết Kỹ Thuật
1. Tại sao .arpa lại nguy hiểm?
TLD .arpa có vai trò đặc biệt trong hệ thống DNS: nó được dùng để ánh xạ địa chỉ IP ngược lại thành tên miền — cung cấp các PTR record, không phải để host nội dung web. Đây chính là điểm mấu chốt: vì .arpa thuộc về hạ tầng internet thiết yếu, các domain dạng này hầu như không bao giờ bị chặn bởi security policy.
2. Kẻ tấn công tạo domain như thế nào?
Kẻ tấn công lấy một dải IPv6 (thông qua dịch vụ tunnel miễn phí như Hurricane Electric), được uỷ quyền quản lý subdomain .arpa tương ứng. Thay vì tạo PTR record như thông thường, chúng tạo A record cho các tên miền reverse DNS này. Cả Hurricane Electric lẫn Cloudflare đều đã bị lợi dụng để tạo các record này — cả hai đều có danh tiếng tốt, giúp kẻ tấn công "mượn" uy tín.
Ví dụ domain dùng trong phishing email:
d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa
<10-ký-tự-ngẫu-nhiên>.5.2.1.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa
Để các domain này khó bị phát hiện và chặn hơn, kẻ tấn công thêm vào phía trước một subdomain được tạo ngẫu nhiên, khiến mỗi FQDN là duy nhất.
3. Nội dung email phishing
Các email phishing trong chiến dịch này rất đơn giản — thường chỉ gồm một ảnh có chứa hyperlink ẩn. Nội dung ảnh thường hứa hẹn "quà miễn phí" khi hoàn thành khảo sát, yêu cầu thẻ tín dụng để "thanh toán phí vận chuyển". Các lừa đảo khác bao gồm thông báo gián đoạn dịch vụ hoặc vượt quá dung lượng lưu trữ đám mây.
4. Traffic Distribution System (TDS)
Sau khi nạn nhân click vào ảnh, họ bị chuyển hướng qua một hoặc nhiều TDS. Hệ thống này phân tích traffic của nạn nhân và chỉ chuyển tiếp đến trang phishing thật nếu đáp ứng các tiêu chí nhất định — cụ thể là thiết bị di động kết hợp với IP dân dụng (residential IP) giúp tăng khả năng đến được trang đích độc hại.
Một điểm đáng chú ý: các hyperlink trong email phishing chỉ hoạt động trong vài ngày. Sau đó, mọi request đều hiển thị trang unsubscribe thông thường hoặc trả về lỗi, bất kể loại traffic nào — điều này làm cho việc tái hiện phishing trong quá trình điều tra trở nên rất khó khăn.
Chiến Thuật Bổ Sung: Hijacked CNAME & Subdomain Shadowing
Ngoài kỹ thuật .arpa, các chiến dịch này còn lạm dụng subdomain của các domain hợp lệ nổi tiếng. Hơn 100 trường hợp đã được phát hiện, trong đó kẻ tấn công sử dụng CNAME bị chiếm đoạt từ các cơ quan chính phủ, trường đại học, công ty viễn thông, tổ chức truyền thông và nhà bán lẻ.
Hai ví dụ đáng chú ý:
Domain publicnoticessites[.]com từng cung cấp nội dung thông báo công khai cho hơn 120 trang web báo địa phương. Khi domain này hết hạn, kẻ tấn công mua lại và có được quyền truy cập tất cả CNAME tham chiếu đến domain đó, trong đó 8 CNAME đã được dùng trong phishing email.
Tương tự với hobsonsms[.]com — domain này cung cấp dịch vụ tài khoản cho ít nhất ba trường đại học khác nhau thông qua cùng một subdomain. Việc kiểm soát một subdomain đó cho phép kẻ tấn công chiếm đoạt cả ba.
IOCs (Indicators of Compromise)
⚠️ Lưu ý quan trọng: Các indicator dưới đây liên quan đến dịch vụ hợp lệ đã bị lạm dụng. Cần cân nhắc kỹ trước khi block toàn bộ.
IPv6 Reverse DNS Domains (với DGA subdomain)
| Domain Pattern | Mô tả |
|---|---|
<10 ký tự ngẫu nhiên>.5.2.1.6.3.0.0.0.7.4.0.1.0.0.2[.]ip6[.]arpa |
IPv6 reverse DNS + DGA subdomain |
<10 ký tự ngẫu nhiên>.1.9.5.0.9.1.0.0.0.7.4.0.1.0.0.2[.]ip6[.]arpa |
IPv6 reverse DNS + DGA subdomain |
<10 ký tự ngẫu nhiên>.d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2[.]ip6[.]arpa |
IPv6 reverse DNS + DGA subdomain |
Malicious Phishing Domains
| Domain | Loại |
|---|---|
actinismoleil[.]sbs |
Phishing domain |
cablecomparison[.]shop |
Phishing domain |
cheapperfume[.]shop |
Phishing domain |
drumsticks[.]store |
Phishing domain |
fightingckmelic[.]makeup |
Phishing domain |
TDS (Traffic Distribution System) Domains
| Domain | Loại |
|---|---|
dulcetoj[.]com |
TDS domain |
golandof[.]com |
TDS domain |
politeche[.]com |
TDS domain |
taktwo[.]com |
TDS domain |
toindom[.]com |
TDS domain |
Domains bị Hijacked CNAME
| Domain | Loại |
|---|---|
publicnoticessites[.]com |
Hijacked CNAME (120+ báo địa phương) |
hobsonsms[.]com |
Hijacked CNAME (3 trường đại học) |
hyfnrsx1[.]com |
Hijacked CNAME (công ty F&B toàn cầu) |
Khuyến Nghị
Phía FPT Threat Intelligence đưa ra các khuyến nghị sau:
Giám sát DNS query đến các domain dạng
*.ip6.arpaphân giải ra A record (bất thường — không phải PTR). Đây là dấu hiệu rõ ràng nhất của kỹ thuật này.Alert khi thấy A record trên reverse DNS namespace (in-addr.arpa hoặc ip6.arpa).
Theo dõi traffic từ thiết bị di động đến các domain
.arpalạ.Check passive DNS cho các CNAME trỏ đến domain hết hạn trong infrastructure nội bộ.
Kiểm tra subdomain của các domain mà tổ chức bạn sở hữu để phát hiện dangling CNAME.
Các biện pháp bảo mật dựa vào danh tiếng domain, thông tin đăng ký, và policy blocklist đều vô hiệu với các domain
.arpanày vì chúng có danh tiếng sạch, không có thông tin đăng ký, và thường không bị chặn theo policy. Cần bổ sung thêm các lớp kiểm tra hành vi DNS bất thường.Áp dụng Protective DNS / DNS Firewall với khả năng detect anomalous A record trên reverse namespace.
Định kỳ kiểm tra và xóa dangling CNAME khỏi DNS của tổ chức.
