WHOIS ဝန်ဆောင်မှုဖြင့် သက်တမ်းကုန်နေသော ဒိုမိန်းကို အသုံးပြု၍ နိုင်ငံခြား mobi ဒိုမိန်းများအတွက် TLS လက်မှတ်များ ရယူရန် ကြိုးပမ်းမှု

watchTowr Labs မှ သုတေသီများသည် .MOBI domain zone မှတ်ပုံတင်အရာရှိထံမှ ခေတ်မမီတော့သော WHOIS ဝန်ဆောင်မှုကို ဖမ်းဆီးရမိခြင်း ပါဝင်သော စမ်းသပ်မှုတစ်ခု၏ ရလဒ်များကို ထုတ်ပြန်ခဲ့သည်။ လေ့လာမှုအတွက် အကြောင်းရင်းမှာ မှတ်ပုံတင်အရာရှိသည် WHOIS ဝန်ဆောင်မှုလိပ်စာကို whois.dotmobiregistry.net ဒိုမိန်းမှ host အသစ် whois.nic.mobi သို့ ပြောင်းရွှေ့ခြင်းကြောင့်ဖြစ်သည်။ တစ်ချိန်တည်းမှာပင်၊ ဒိုမိန်း dotmobiregistry.net ကို အသုံးမပြုတော့ဘဲ ဒီဇင်ဘာ 2023 တွင် ၎င်းကို ထုတ်ဝေခဲ့ပြီး မှတ်ပုံတင်ရန်အတွက် စတင်အသုံးပြုနိုင်ခဲ့သည်။

သုတေသီများသည် ဒေါ်လာ 20 သုံးစွဲကာ ဤဒိုမိန်းကို ဝယ်ယူပြီးနောက် ၎င်းတို့သည် ၎င်းတို့၏ ကိုယ်ပိုင်ဆာဗာတွင် ၎င်းတို့၏ ယောင်ဆောင်သော WHOIS ဝန်ဆောင်မှု whois.dotmobiregistry.net ကို စတင်ခဲ့သည်။ အံ့သြစရာမှာ စနစ်များစွာသည် whois.nic.mobi သို့မပြောင်းဘဲ နာမည်ဟောင်းကို ဆက်လက်အသုံးပြုနေခြင်းပင်ဖြစ်သည်။ ယခုနှစ်သြဂုတ်လ 30 ရက်မှစက်တင်ဘာလ 4 ရက်အထိ 2.5 မှထူးခြားသောစနစ်များမှပေးပို့သောအမည်ဟောင်းတောင်းဆိုမှု 135 သန်းကိုမှတ်တမ်းတင်ခဲ့သည်။

တောင်းဆိုချက်များ ပေးပို့သူများထဲတွင် စာတိုက်မှ ပါဝင်သည် ဆာဗာများ WHOIS၊ လုံခြုံရေးကုမ္ပဏီများနှင့် လုံခြုံရေးပလက်ဖောင်းများ (VirusTotal၊ Group-IB) မှတစ်ဆင့် အီးမေးလ်များတွင် ပေါ်လာသော ဒိုမိန်းများအပြင် အသိအမှတ်ပြုလက်မှတ်အာဏာပိုင်များ၊ ဒိုမိန်းအတည်ပြုဝန်ဆောင်မှုများ၊ SEO ဝန်ဆောင်မှုများ နှင့် ဒိုမိန်းမှတ်ပုံတင်သူများ (ဥပမာ domain.com၊ godaddy.com၊ who.is၊ whois.ru၊ smallseo.tools၊ seocheki.net၊ centralops.net၊ name.com၊ urlscan.io နှင့် webchart.org) တို့ကို စစ်ဆေးခဲ့သော အစိုးရနှင့် စစ်ဘက်အဖွဲ့အစည်းများ။

တောင်းဆိုချက်တစ်ခုအတွက် WHOIS ဝန်ဆောင်မှုဟောင်းကို တုံ့ပြန်သည့်အနေဖြင့် မည်သည့်ဒေတာကိုမဆို ပေးပို့နိုင်မည်ဖြစ်သည်။MOBI ဒိုမိန်းဇုန်ကို တောင်းဆိုသူများအပေါ် တိုက်ခိုက်မှုအမျိုးအစားများစွာကို ဖော်ထုတ်ရန်အတွက် အသုံးပြုခဲ့သည်။ ပထမတိုက်ခိုက်မှုသည် တစ်စုံတစ်ဦးသည် ကာလကြာရှည်အစားထိုးထားသော ဝန်ဆောင်မှုတစ်ခုထံ တောင်းဆိုမှုများကို ဆက်လက်ပေးပို့ပါက၊ အားနည်းချက်များပါဝင်သော ခေတ်မမီသောကိရိယာကို အသုံးပြု၍ ၎င်းတို့က ထိုသို့လုပ်ဆောင်နိုင်ဖွယ်ရှိသည်။

ဥပမာအားဖြင့်၊ 2015 တွင်၊ WHOIS ဆာဗာမှပေးပို့သော အထူးဖော်မတ်ထားသည့်ဒေတာကို ခွဲခြမ်းစိတ်ဖြာသည့်အခါ တိုက်ခိုက်သူ၏ကုဒ်ကို လုပ်ဆောင်ခွင့်ပြုသည့် phpWHOIS တွင် အားနည်းချက် CVE-2015-5243 ကို တွေ့ရှိခဲ့သည်။ နောက်ထပ်ဥပမာမှာ Fail2021Ban ပက်ကေ့ဂျ်တွင် 2021 တွင်ဖော်ထုတ်ထားသော CVE-32749-2 အားနည်းချက်ဖြစ်ပြီး၊ ၎င်းသည် မှားယွင်းသောဒေတာကို WHOIS ဝန်ဆောင်မှုမှ ပြန်လည်ပေးပို့သည့်အခါ ပြင်ပကုဒ်ကို လုပ်ဆောင်နိုင်စေမည့် သတိပေးချက်ထုတ်ပေးခြင်း (Fail2Ban သည် လက်ခံသူစီမံခန့်ခွဲသူ၏အီးမေးလ်ကို ဆုံးဖြတ်ခဲ့သည် WHOIS မှတစ်ဆင့် အထူးအက္ခရာများ မှန်ကန်စွာ မလွတ်ကင်းဘဲ အမိန့်ပေးစာများကို လုပ်ဆောင်သည့်အခါ ၎င်းကို သတ်မှတ်ပေးခဲ့သည်။)

ဒုတိယတိုက်ခိုက်မှုမှာ WHOIS ပရိုတိုကောမှတစ်ဆင့် ဝင်ရောက်နိုင်သော ဒိုမိန်းမှတ်ပုံတင်သူဒေတာဘေ့စ်တွင် သတ်မှတ်ထားသည့် အီးမေးလ်ဖြင့် ဒိုမိန်းပိုင်ဆိုင်မှုကို အတည်ပြုနိုင်သည်ဟု အချို့သော အသိအမှတ်ပြုအာဏာပိုင်များက ပေးအပ်သည့်အချက်အပေါ် အခြေခံထားသည်။ ဤစိစစ်ရေးနည်းလမ်းကို ပံ့ပိုးပေးသော အသိအမှတ်ပြုလက်မှတ်အာဏာပိုင်များအများအပြားသည် “.MOBI” ဒိုမိန်းဇုန်အတွက် WHOIS ဆာဗာအဟောင်းကို ဆက်လက်အသုံးပြုနေကြောင်း တွေ့ရှိရပါသည်။

ထို့ကြောင့် whois.dotmobiregistry.net အမည်ကို ထိန်းချုပ်နိုင်ပြီးနောက်၊ တိုက်ခိုက်သူများသည် ၎င်းတို့၏ဒေတာကို ပြန်လည်ရယူနိုင်ခြင်း၊ အတည်ပြုခြင်းပြုလုပ်ခြင်းနှင့် ရယူခြင်းတို့ကို ပြုလုပ်နိုင်သည်။ TLS လက်မှတ် ".MOBI ဇုန်ရှိ မည်သည့်ဒိုမိန်းအတွက်မဆို။" ဥပမာအားဖြင့်၊ စမ်းသပ်မှုအတွင်း သုတေသီများသည် GlobalSign မှတ်ပုံတင်သူထံမှ microsoft.mobi ဒိုမိန်းအတွက် TLS လက်မှတ်ကို တောင်းဆိုခဲ့ပြီး၊ စိတ်ကူးယဉ် WHOIS ဝန်ဆောင်မှုမှ ပြန်ပို့သော "whois@watchTowr.com" အီးမေးလ်ကို အင်တာဖေ့စ်တွင် ဒိုမိန်းပိုင်ဆိုင်မှု အတည်ပြုကုဒ်ပေးပို့ရန်အတွက် ရရှိနိုင်သောအဖြစ် ပြသခဲ့သည်။

source: opennet.ru