Фишеры используют .arpa и обратный DNS IPv6 для обхода защитных фильтров

В последнее время наблюдается рост атак, в которых злоумышленники используют специальный домен .arpa и записи обратного DNS для IPv6‑адресов. Такой подход позволяет им обходить традиционные проверки репутации доменов и фильтры электронной почты, что усложняет обнаружение фишинговых сообщений.

Что происходит: детали техники

• Специальный домен .arpa – это зарезервированная зона, предназначенная для технических целей (например, обратный DNS). Она не попадает в обычные списки репутации, поэтому запросы к ней часто считаются «нейтральными».
• Обратный DNS для IPv6 (PTR‑записи) позволяет сопоставить IP‑адрес с доменным именем. Злоумышленники регистрируют такие записи, указывающие на поддомены .arpa, тем самым скрывая истинный источник письма.
• При отправке фишингового письма система защиты проверяет репутацию домена отправителя. Поскольку .arpa не имеет публичной репутации, проверка проходит успешно, и письмо попадает в почтовый ящик получателя.
• Кроме того, некоторые решения для фильтрации писем ориентируются на «корневой» домен (например, example.com). Использование поддомена в зоне .arpa позволяет обойти такие правила.

Почему это важно для управления внешней атакующей поверхностью

• Невидимая поверхность – зоны вроде .arpa часто исключаются из мониторинга, что создает «слепую пятку» в карте внешних активов организации.
• Увеличение количества векторных точек – злоумышленники могут быстро регистрировать новые поддомены в .arpa, меняя их по мере необходимости, что усложняет отслеживание.
• Снижение эффективности традиционных решений – многие решения по защите от фишинга полагаются на репутационные списки и черные списки доменов. При обходе этих механизмов возрастает риск проникновения вредоносного контента.
• Воздействие на цепочку поставок – если фишинговое письмо успешно обходит фильтры, оно может привести к компрометации учётных данных сотрудников, что в дальнейшем откроет доступ к внутренним системам и сервисам.

Практические рекомендации для команд безопасности

1. Расширьте мониторинг DNS

   • Включите в список наблюдаемых зон не только публичные домены, но и специальные зоны (.arpa, .in-addr.arpa).
   • Используйте решения EASM (External Attack Surface Management) для автоматического обнаружения новых записей PTR в IPv6‑пространстве.

2. Установите правила проверки обратного DNS

   • Требуйте, чтобы PTR‑записи соответствовали ожидаемым доменным именам организации.
   • Блокируйте или помечайте письма, где обратный DNS указывает на поддомены .arpa.

3. Обновите политики фильтрации почты

   • Добавьте в правила проверки не только домен отправителя, но и его обратный DNS.
   • Внедрите анализ контента и поведения письма (например, проверку ссылок, вложений) независимо от репутации домена.

4. Проведите аудит текущих записей DNS

   • Сравните список всех публичных и обратных записей с реальными бизнес‑процессами.
   • Удалите или перенастройте лишние или подозрительные PTR‑записи.

5. Обучайте сотрудников

   • Проводите регулярные тренинги по распознаванию фишинговых сообщений, подчеркивая, что отсутствие «плохой» репутации домена не гарантирует безопасность.
   • Информируйте о новых тактиках злоумышленников, включая использование .arpa.

6. Интегрируйте данные о DNS в SIEM

   • Настройте корреляцию событий, связанных с изменениями в DNS‑записях, с другими индикаторами компрометации.
   • Автоматически генерируйте оповещения при появлении новых PTR‑записей, указывающих на .arpa.

7. Тестируйте защитные механизмы

   • Проводите внутренние фишинговые кампании, имитирующие использование .arpa и IPv6‑обратного DNS, чтобы проверить эффективность текущих фильтров.
   • На основе результатов корректируйте правила и политики.

Что сделать прямо сейчас

• Запустите сканирование DNS: используйте ваш EASM‑инструмент или открытые сканеры, чтобы выявить все PTR‑записи, связанные с IPv6‑адресами вашей сети.
• Обновите правила почтового шлюза: добавьте проверку обратного DNS и исключите .arpa из списка «доверенных» доменов.
• Создайте процесс ревизии DNS‑записей: назначьте ответственного за ежемесячный аудит и документирование изменений.

Применяя эти меры, организации смогут закрыть «слепую пятку» в своей внешней атакующей поверхности и повысить устойчивость к современным фишинговым кампаниям, использующим нестандартные DNS‑техники.