ವಾಚ್ಟೌರ್ ಲ್ಯಾಬ್ಸ್ನ ಸಂಶೋಧಕರು .MOBI ಡೊಮೇನ್ ವಲಯ ರಿಜಿಸ್ಟ್ರಾರ್ನಿಂದ ಹಳತಾದ WHOIS ಸೇವೆಯನ್ನು ಸೆರೆಹಿಡಿಯುವ ಪ್ರಯೋಗದ ಫಲಿತಾಂಶಗಳನ್ನು ಪ್ರಕಟಿಸಿದ್ದಾರೆ. ರಿಜಿಸ್ಟ್ರಾರ್ WHOIS ಸೇವಾ ವಿಳಾಸವನ್ನು ಬದಲಾಯಿಸಿದ್ದು, ಅದನ್ನು whois.dotmobiregistry.net ಡೊಮೇನ್ನಿಂದ ಹೊಸ ಹೋಸ್ಟ್ whois.nic.mobi ಗೆ ಸರಿಸುವುದು ಅಧ್ಯಯನಕ್ಕೆ ಕಾರಣ. ಅದೇ ಸಮಯದಲ್ಲಿ, dotmobiregistry.net ಡೊಮೇನ್ ಅನ್ನು ಬಳಸುವುದನ್ನು ನಿಲ್ಲಿಸಲಾಯಿತು ಮತ್ತು ಡಿಸೆಂಬರ್ 2023 ರಲ್ಲಿ ಅದನ್ನು ಬಿಡುಗಡೆ ಮಾಡಲಾಯಿತು ಮತ್ತು ನೋಂದಣಿಗೆ ಲಭ್ಯವಾಯಿತು.
ಸಂಶೋಧಕರು $20 ಖರ್ಚು ಮಾಡಿದರು ಮತ್ತು ಈ ಡೊಮೇನ್ ಅನ್ನು ಖರೀದಿಸಿದರು, ನಂತರ ಅವರು ತಮ್ಮ ಸರ್ವರ್ನಲ್ಲಿ ತಮ್ಮದೇ ಆದ ಕಾಲ್ಪನಿಕ WHOIS ಸೇವೆಯನ್ನು whois.dotmobiregistry.net ಅನ್ನು ಪ್ರಾರಂಭಿಸಿದರು. ಆಶ್ಚರ್ಯಕರ ಸಂಗತಿಯೆಂದರೆ, ಅನೇಕ ವ್ಯವಸ್ಥೆಗಳು ಹೊಸ ಹೋಸ್ಟ್ whois.nic.mobi ಗೆ ಬದಲಾಗಲಿಲ್ಲ ಮತ್ತು ಹಳೆಯ ಹೆಸರನ್ನು ಬಳಸುವುದನ್ನು ಮುಂದುವರೆಸಿದವು. ಈ ವರ್ಷ ಆಗಸ್ಟ್ 30 ರಿಂದ ಸೆಪ್ಟೆಂಬರ್ 4 ರವರೆಗೆ, ಹಳೆಯ ಹೆಸರಿಗಾಗಿ 2.5 ಮಿಲಿಯನ್ ವಿನಂತಿಗಳನ್ನು ದಾಖಲಿಸಲಾಗಿದೆ, 135 ಸಾವಿರಕ್ಕೂ ಹೆಚ್ಚು ವಿಶಿಷ್ಟ ವ್ಯವಸ್ಥೆಗಳಿಂದ ಕಳುಹಿಸಲಾಗಿದೆ.
ವಿನಂತಿಗಳನ್ನು ಕಳುಹಿಸಿದವರಲ್ಲಿ ಅಂಚೆ ಸರ್ವರ್ಗಳು WHOIS, ಭದ್ರತಾ ಕಂಪನಿಗಳು ಮತ್ತು ಭದ್ರತಾ ವೇದಿಕೆಗಳು (VirusTotal, Group-IB) ಮೂಲಕ ಇಮೇಲ್ಗಳಲ್ಲಿ ಕಾಣಿಸಿಕೊಳ್ಳುವ ಡೊಮೇನ್ಗಳನ್ನು ಪರಿಶೀಲಿಸಿದ ಸರ್ಕಾರ ಮತ್ತು ಮಿಲಿಟರಿ ಸಂಸ್ಥೆಗಳು, ಹಾಗೆಯೇ ಪ್ರಮಾಣೀಕರಣ ಅಧಿಕಾರಿಗಳು, ಡೊಮೇನ್ ಪರಿಶೀಲನಾ ಸೇವೆಗಳು, SEO ಸೇವೆಗಳು ಮತ್ತು ಡೊಮೇನ್ ನೋಂದಣಿದಾರರು (ಉದಾ., domain.com, godaddy.com, who.is, whois.ru, smallseo.tools, seocheki.net, centralops.net, name.com, urlscan.io, ಮತ್ತು webchart.org).
.MOBI ಡೊಮೇನ್ ವಲಯದ ಹಳೆಯ WHOIS ಸೇವೆಗೆ ವಿನಂತಿಗೆ ಪ್ರತಿಕ್ರಿಯೆಯಾಗಿ ಯಾವುದೇ ಡೇಟಾವನ್ನು ಕಳುಹಿಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ವಿನಂತಿಸುವವರ ಮೇಲೆ ಹಲವಾರು ರೀತಿಯ ದಾಳಿಗಳನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸಲು ಬಳಸಲಾಗಿದೆ. ಮೊದಲ ದಾಳಿಯು ಯಾರಾದರೂ ದೀರ್ಘ-ಬದಲಿ ಸೇವೆಗೆ ವಿನಂತಿಗಳನ್ನು ಕಳುಹಿಸುವುದನ್ನು ಮುಂದುವರೆಸಿದರೆ, ಅವರು ದುರ್ಬಲತೆಗಳನ್ನು ಹೊಂದಿರುವ ಹಳತಾದ ಉಪಕರಣವನ್ನು ಬಳಸಿಕೊಂಡು ಹಾಗೆ ಮಾಡುತ್ತಾರೆ ಎಂಬ ಊಹೆಯನ್ನು ಆಧರಿಸಿದೆ.
ಉದಾಹರಣೆಗೆ, 2015 ರಲ್ಲಿ phpWHOIS ನಲ್ಲಿ, CVE-2015-5243 ದುರ್ಬಲತೆಯನ್ನು ಗುರುತಿಸಲಾಗಿದೆ, ಇದು WHOIS ಸರ್ವರ್ನಿಂದ ವಿಶೇಷವಾಗಿ ಫಾರ್ಮ್ಯಾಟ್ ಮಾಡಲಾದ ಡೇಟಾವನ್ನು ಪಾರ್ಸ್ ಮಾಡುವಾಗ ಆಕ್ರಮಣಕಾರರ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುಮತಿಸುತ್ತದೆ. ಮತ್ತೊಂದು ಉದಾಹರಣೆಯೆಂದರೆ 2021 ರಲ್ಲಿ Fail2021Ban ಪ್ಯಾಕೇಜ್ನಲ್ಲಿ ಗುರುತಿಸಲಾದ ದುರ್ಬಲತೆ CVE-32749-2, ಇದು ನಿರ್ಬಂಧಿಸುವ ಎಚ್ಚರಿಕೆಯನ್ನು ಉತ್ಪಾದಿಸುವ ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿ ಬಳಸಲಾದ WHOIS ಸೇವೆಯಿಂದ ತಪ್ಪಾದ ಡೇಟಾವನ್ನು ಹಿಂತಿರುಗಿಸಿದಾಗ ಬಾಹ್ಯ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಅನುಮತಿಸುತ್ತದೆ (Fail2Ban ಹೋಸ್ಟ್ ನಿರ್ವಾಹಕರ ಇಮೇಲ್ ಅನ್ನು ನಿರ್ಧರಿಸುತ್ತದೆ WHOIS ಮೂಲಕ ಮತ್ತು ವಿಶೇಷ ಅಕ್ಷರಗಳಿಂದ ಸರಿಯಾಗಿ ತಪ್ಪಿಸಿಕೊಳ್ಳದೆ ಕಮಾಂಡ್ ಮೇಲ್ ಅನ್ನು ಚಾಲನೆ ಮಾಡುವಾಗ ಅದನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಲಾಗಿದೆ).
WHOIS ಪ್ರೋಟೋಕಾಲ್ ಮೂಲಕ ಪ್ರವೇಶಿಸಬಹುದಾದ ಡೊಮೇನ್ ರಿಜಿಸ್ಟ್ರಾರ್ ಡೇಟಾಬೇಸ್ನಲ್ಲಿ ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ಇಮೇಲ್ ಮೂಲಕ ಡೊಮೇನ್ ಮಾಲೀಕತ್ವವನ್ನು ಪರಿಶೀಲಿಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಕೆಲವು ಪ್ರಮಾಣೀಕರಣ ಅಧಿಕಾರಿಗಳು ಒದಗಿಸುತ್ತಾರೆ ಎಂಬ ಅಂಶವನ್ನು ಎರಡನೇ ದಾಳಿಯು ಆಧರಿಸಿದೆ. ಈ ಪರಿಶೀಲನಾ ವಿಧಾನವನ್ನು ಬೆಂಬಲಿಸುವ ಹಲವಾರು ಪ್ರಮಾಣೀಕರಣ ಅಧಿಕಾರಿಗಳು ".MOBI" ಡೊಮೇನ್ ವಲಯಕ್ಕಾಗಿ ಹಳೆಯ WHOIS ಸರ್ವರ್ ಅನ್ನು ಬಳಸುವುದನ್ನು ಮುಂದುವರೆಸಿದ್ದಾರೆ.
ಹೀಗಾಗಿ, whois.dotmobiregistry.net ಹೆಸರಿನ ಮೇಲೆ ಹಿಡಿತ ಸಾಧಿಸಿದ ನಂತರ, ದಾಳಿಕೋರರು ತಮ್ಮ ಡೇಟಾವನ್ನು ಹಿಂಪಡೆಯಬಹುದು, ಪರಿಶೀಲನೆ ಮಾಡಬಹುದು ಮತ್ತು ಪಡೆಯಬಹುದು TLS ಪ್ರಮಾಣಪತ್ರ .MOBI ವಲಯದಲ್ಲಿರುವ ಯಾವುದೇ ಡೊಮೇನ್ಗೆ." ಉದಾಹರಣೆಗೆ, ಪ್ರಯೋಗದ ಸಮಯದಲ್ಲಿ, ಸಂಶೋಧಕರು GlobalSign ರಿಜಿಸ್ಟ್ರಾರ್ನಿಂದ microsoft.mobi ಡೊಮೇನ್ಗಾಗಿ TLS ಪ್ರಮಾಣಪತ್ರವನ್ನು ವಿನಂತಿಸಿದರು ಮತ್ತು ಕಾಲ್ಪನಿಕ WHOIS ಸೇವೆಯಿಂದ ಹಿಂತಿರುಗಿಸಲಾದ "whois@watchTowr.com" ಇಮೇಲ್ ಅನ್ನು ಡೊಮೇನ್ ಮಾಲೀಕತ್ವ ಪರಿಶೀಲನಾ ಕೋಡ್ ಕಳುಹಿಸಲು ಲಭ್ಯವಿರುವ ಇಂಟರ್ಫೇಸ್ನಲ್ಲಿ ಪ್ರದರ್ಶಿಸಲಾಯಿತು.
ಮೂಲ: opennet.ru
