Nadużycie domeny .arpa i IPv6 w phishingu: nowa technika omijania zabezpieczeń poczty

Wprowadzenie do problemu / definicja

Cyberprzestępcy coraz częściej sięgają po legalne elementy infrastruktury internetowej, aby ukrywać kampanie phishingowe przed tradycyjnymi systemami ochrony. Jednym z najnowszych przykładów jest nadużywanie domeny specjalnego przeznaczenia .arpa oraz mechanizmu odwrotnego DNS dla IPv6 do budowy adresów wykorzystywanych w złośliwych wiadomościach e-mail.

Problem polega na tym, że wiele narzędzi antyphishingowych zostało zaprojektowanych z myślą o klasycznych domenach internetowych. Gdy atakujący wykorzystują techniczne strefy DNS, takie jak ip6.arpa, część mechanizmów reputacyjnych i analitycznych traci skuteczność, co zwiększa szanse na dostarczenie fałszywego linku do ofiary.

W skrócie

• Atakujący wykorzystują reverse DNS dla IPv6 do tworzenia nietypowych nazw w strefie ip6.arpa.
• Nazwy te mogą prowadzić do infrastruktury phishingowej i omijać klasyczne filtry reputacyjne.
• Technika utrudnia analizę, ponieważ .arpa nie funkcjonuje jak standardowa domena komercyjna.
• Kampanie są dodatkowo wspierane przez TDS, krótkotrwałe linki oraz warstwy maskujące infrastrukturę.

Kontekst / historia

Domena .arpa od dawna pełni szczególną funkcję w architekturze Internetu. Jest przeznaczona do zastosowań infrastrukturalnych i pomocniczych, a nie do hostowania typowych serwisów dostępnych dla użytkowników końcowych. Jednym z jej najbardziej znanych zastosowań pozostaje reverse DNS, czyli odwrotne mapowanie adresu IP na nazwę hosta.

W przypadku IPv4 służy do tego strefa in-addr.arpa, natomiast dla IPv6 wykorzystywana jest ip6.arpa. Mechanizm ten ma znaczenie operacyjne, diagnostyczne i reputacyjne, szczególnie w usługach sieciowych oraz systemach pocztowych. Nowością nie jest więc sama obecność reverse DNS, lecz sposób, w jaki został on zaadaptowany do budowy infrastruktury phishingowej.

Badacze zaobserwowali scenariusze, w których napastnicy nie ograniczali się do standardowych rekordów PTR. Zamiast tego wykorzystywali kontrolowaną przez siebie przestrzeń IPv6 i publikowali dodatkowe rekordy DNS, umożliwiające wykorzystanie technicznych nazw jako realnych punktów wejścia do oszustwa.

Analiza techniczna

Technika ataku zaczyna się od uzyskania kontroli nad zakresem adresów IPv6. Może to nastąpić na przykład przez usługi tunelowania IPv6 lub inne mechanizmy delegacji przestrzeni adresowej. Po przejęciu zarządzania takim zakresem napastnik zyskuje możliwość konfiguracji odpowiadającej mu strefy reverse DNS w ip6.arpa.

W standardowym modelu strefa reverse DNS zawiera rekordy PTR. W analizowanych kampaniach przestępcy wykorzystywali jednak elastyczność niektórych paneli DNS i dodawali również inne typy rekordów, między innymi A lub podobne wpisy wspierające przekierowanie do zasobów webowych. Dzięki temu techniczna nazwa w ip6.arpa mogła stać się elementem faktycznie prowadzącym do zaplecza phishingowego.

Takie adresy są zwykle długie, nieczytelne i oparte na odwróconej reprezentacji IPv6. Dla części narzędzi bezpieczeństwa nie przypominają więc klasycznych domen używanych w phishingu. To utrudnia ich prawidłową klasyfikację, zwłaszcza jeśli system opiera się na sygnałach takich jak wiek domeny, dane rejestracyjne czy historia reputacyjna.

W praktyce link może być ukryty pod przyciskiem, obrazem lub innym elementem HTML wiadomości e-mail. Po kliknięciu urządzenie ofiary rozwiązuje nazwę w ip6.arpa, a następnie zostaje skierowane do infrastruktury kontrolowanej przez atakującego. Dodatkowo bywa stosowany system TDS, który filtruje ruch w zależności od cech ofiary, takich jak lokalizacja, adres IP, nagłówki HTTP, urządzenie czy źródło wejścia.

Jeżeli użytkownik spełnia założone kryteria, trafia na właściwą stronę phishingową. W przeciwnym razie może zostać przekierowany do legalnej witryny albo na stronę błędu. Takie zachowanie utrudnia analizę incydentu, ponieważ po krótkim czasie wskaźniki kompromitacji mogą przestać działać, a próbka staje się trudniejsza do odtworzenia w środowisku badawczym.

Technika może być ponadto łączona z innymi metodami maskowania, takimi jak shadowing subdomen, wykorzystanie porzuconych rekordów CNAME czy warstwy pośredniczące ukrywające prawdziwy backend. W efekcie obrońcy tracą widoczność całego łańcucha infrastruktury i mają mniej danych do skutecznego triage oraz atrybucji.

Konsekwencje / ryzyko

Najważniejszym skutkiem jest osłabienie tradycyjnych mechanizmów antyphishingowych. Wiele rozwiązań nadal bazuje na reputacji domeny, analizie WHOIS, wieku rejestracji czy typowych wzorcach URL. W przypadku .arpa część tych sygnałów jest niedostępna albo ma ograniczoną wartość operacyjną.

Drugim problemem jest większa trudność w wykrywaniu i analizie incydentów. Nietypowa nazwa w ip6.arpa może nie zostać od razu rozpoznana jako realny nośnik złośliwej aktywności. Jeżeli parsery URL, moduły normalizacji domen lub procesy enrichmentu nie są przygotowane na taki format, alert może zostać błędnie zaniżony lub odrzucony.

Ryzyko dotyczy również polityk bezpieczeństwa. Organizacje, które traktują ruch związany z technicznymi strefami DNS jako mniej podejrzany, mogą nieświadomie otwierać dodatkową ścieżkę dla kampanii phishingowych. Dla ofiary końcowej konsekwencje pozostają jednak klasyczne: kradzież poświadczeń, przejęcie kont pocztowych, oszustwa finansowe, obejście zabezpieczeń sesyjnych oraz wtórne wykorzystanie naruszonych kont w atakach BEC.

Rekomendacje

Organizacje powinny zmodyfikować logikę detekcji tak, aby nazwy w .arpa, a szczególnie w ip6.arpa, nie były automatycznie uznawane za neutralne. Każdy taki adres występujący w treści wiadomości e-mail, osadzonych obrazach, przyciskach CTA lub przekierowaniach HTTP powinien zostać potraktowany jako sygnał wysokiego ryzyka.

• Rozszerzyć reguły filtrowania o adresy URL i hosty bazujące na ip6.arpa.
• Analizować pełny łańcuch przekierowań, a nie wyłącznie pierwszy widoczny adres.
• Korelować reputację domeny z reputacją IP, ASN i dostawcy usług DNS.
• Monitorować zapytania do ip6.arpa generowane przez stacje robocze użytkowników.
• Profilować nietypowe wzorce reverse DNS, które kończą się dostępem do zasobów webowych.
• Testować parsery, sandboxy i systemy SOC pod kątem obsługi technicznych nazw domenowych.

Z perspektywy zespołów bezpieczeństwa warto również rozwijać telemetrię Protective DNS i łączyć dane z poczty, proxy, EDR oraz systemów threat intelligence. Użytkownicy końcowi nadal powinni zachować podstawową ostrożność i unikać klikania nieoczekiwanych linków, nawet jeśli są ukryte pod pozornie wiarygodnym przyciskiem lub grafiką.

Podsumowanie

Nadużycie .arpa oraz reverse DNS dla IPv6 pokazuje, że nowoczesny phishing coraz częściej nie wymaga przełomowych exploitów. Wystarczy kreatywne wykorzystanie legalnych mechanizmów Internetu, aby obejść część klasycznych zabezpieczeń poczty i systemów reputacyjnych.

Dla obrońców oznacza to konieczność odejścia od założenia, że domeny infrastrukturalne są z definicji bezpieczne. Jeżeli adres w ip6.arpa pojawia się jako element ścieżki prowadzącej użytkownika do strony logowania, powinien zostać potraktowany jako potencjalny wskaźnik kompromitacji wymagający natychmiastowej weryfikacji.

Źródła

1. Hackers abuse .arpa DNS and IPv6 to evade phishing defenses — https://www.bleepingcomputer.com/news/security/hackers-abuse-arpa-dns-and-ipv6-to-evade-phishing-defenses/
2. Abusing .arpa: The TLD That Isn’t Supposed to Host Anything — https://www.infoblox.com/blog/threat-intelligence/abusing-arpa-the-tld-that-isnt-supposed-to-host-anything/
3. RFC 3596: DNS Extensions to Support IP Version 6 — https://www.rfc-editor.org/rfc/rfc3596
4. RFC 3172: Management Guidelines & Operational Requirements for the Address and Routing Parameter Area Domain ("arpa") — https://www.rfc-editor.org/rfc/rfc3172