Фишинг через .arpa: злоумышленники используют служебную зону DNS для обхода фильтров

Специалисты по кибербезопасности зафиксировали новую технику распространения фишинговых ссылок: в атаках задействуется доменная зона .arpa в сочетании с адресацией IPv6. Речь идёт о техническом домене верхнего уровня, который предназначен для инфраструктурных задач системы DNS, прежде всего для механизма обратного разрешения адресов (reverse DNS). Блокировка этой зоны невозможна без риска нарушить работу глобальной системы доменных имён.

Обычно .arpa используется для сопоставления IP-адреса с доменным именем. В случае IPv6 применяется пространство ip6.arpa, где адрес записывается в инвертированном виде по нибблам. Однако исследователи обнаружили, что при определённых настройках у некоторых провайдеров возможно создание записей типа A внутри этой зоны. Формально такие домены не предназначены для размещения сайтов, но при наличии контроля над IPv6-префиксом и соответствующим поддоменом злоумышленники могут фактически развернуть веб-хостинг.

Сами письма выглядят привычно: рассылки маскируются под сообщения от известных брендов с обещанием приза или бонуса. Текст минимален — зачастую всё содержание представлено изображением с встроенной ссылкой. При нажатии пользователь переходит по цепочке редиректов через систему распределения трафика (TDS), а конечный адрес формируется на основе строки reverse DNS, например в формате d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa.

Подобный адрес в явном виде мог бы вызвать подозрения, но в письме он скрыт за картинкой. Устройство инициирует DNS-запрос к зоне .arpa, которая считается служебной и редко попадает в списки блокировки. После первичного обращения инфраструктура атакующих анализирует параметры устройства и соединения. Если условия подходят, происходит перенаправление на фишинговую страницу; в противном случае пользователь получает ошибку или отправляется на нейтральный ресурс.

Для реализации схемы злоумышленнику требуется собственный IPv6-префикс (чаще всего /64), для которого делегируется управление соответствующим поддоменом ip6.arpa. Вместо стандартных PTR-записей создаются A-записи, что позволяет использовать имя для веб-доступа. В ходе расследования упоминалось возможное злоупотребление инфраструктурой Hurricane Electric и Cloudflare. Их репутация дополнительно снижает вероятность автоматической блокировки. Отмечается, что некоторые другие DNS-провайдеры также допускали подобные конфигурации; информация о выявленных уязвимостях была им передана.

Технически доменное имя формируется путём инверсии последовательности нибблов IPv6-адреса с добавлением суффикса ip6.arpa. Поскольку злоумышленник контролирует лишь половину адреса в пределах /64, младшие 64 бита могут не учитываться. Для усложнения обнаружения к имени добавляется случайный поддомен, что делает каждый FQDN уникальным.

Хотя reverse DNS предназначен исключительно для служебных целей, протокол допускает гибкие конфигурации. При выполнении запроса типа A резолверы последовательно обращаются к авторитетным серверам. В одном из зафиксированных случаев такие серверы находились под управлением Cloudflare, а домен ip6.arpa в итоге указывал на IP-адреса из её сети, скрывая фактический источник фишингового контента.

Схема требует сочетания как минимум двух сервисов. Во-первых, злоумышленнику необходим IPv6-туннель, позволяющий получить контроль над диапазоном адресов (сам туннель может не использоваться для передачи данных). Во-вторых, нужен DNS-провайдер, разрешающий назначение авторитетных серверов для домена в зоне .arpa. Если такая конфигурация блокируется, атака становится невозможной.

Использование .arpa — лишь один из элементов более широкой кампании. В тех же операциях фиксировались перехваты «висячих» CNAME-записей, указывающих на истёкшие домены или заброшенные облачные ресурсы. В ряде случаев злоумышленники получали контроль над поддоменами государственных структур, университетов, телеком-операторов и медиакомпаний. Отдельно отмечались эпизоды domain shadowing — создания поддоменов через скомпрометированные учётные записи.

Некоторые инциденты позволяли атакующим управлять сразу несколькими связанными ресурсами после истечения срока регистрации обслуживающего домена. Это давало возможность перенаправлять трафик с легитимных сайтов на фишинговые страницы до момента обнаружения проблемы.

Содержательно письма остаются максимально простыми: изображение с предложением «бесплатного подарка», уведомление о блокировке подписки или превышении лимита в облачном сервисе. После перехода жертва попадает в TDS, где анализируются тип устройства и IP-адрес. Наблюдения показывают, что мобильные устройства и резидентские IP повышают вероятность прохождения фильтра. При несоответствии параметров отображается ошибка либо происходит редирект на нейтральный сайт.

Дополнительную сложность для расследования создаёт короткий жизненный цикл ссылок — они активны лишь несколько дней, после чего либо ведут на страницу отписки, либо возвращают ошибку. Это затрудняет повторное изучение механики атаки.

Применение .arpa в качестве канала доставки примечательно тем, что задействует инфраструктуру, которой по умолчанию доверяют. Методы фильтрации, основанные на репутации домена или данных о регистрации, в таком случае работают хуже. У подобных имён отсутствует привычная история, и они не считаются подозрительными автоматически. По состоянию на момент наблюдений обращения к этим доменам в клиентском трафике не фиксировались, однако в глобальных пассивных DNS-логах отмечались запросы к множеству IPv6- и IPv4-адресов обратного разрешения, включая использованные в рассылках.