HackerNews

HackerNews
黑客滥用 .arpa 域名与 IPv6 规避钓鱼防御机制

黑客滥用 .arpa 域名与 IPv6 规避钓鱼防御机制

作者: hackernews 日期: 2026-03-09 分类: 网络钓鱼
给文章评分:

HackerNews 编译,转载请注明出处:

威胁行为者正在钓鱼攻击活动中滥用专用顶级域名 .arpa 与 IPv6 反向 DNS,从而更轻易地绕过域名信誉检测与邮件安全网关

.arpa 是保留给互联网基础设施使用的特殊顶级域名,而非用于普通网站。它主要用于反向 DNS 解析,即让系统将 IP 地址映射回对应的主机名

IPv4 反向解析使用 in-addr.arpa 域名,而 IPv6 使用 ip6.arpa。在这类解析中,DNS 会查询由 IP 地址反向排列并附加在上述域名后的主机名。

例如,www.google.com 对应的 IP 地址为 192.178.50.36(IPv4)与 2607:f8b0:4008:802::2004(IPv6)。使用 dig 工具查询 Google 的 192.178.50.36 这一 IP 时,会解析到一个 in-addr.arpa 主机名,并最终指向一个常规主机名。

企业微信截图_17730258712043

查询 Google 的 IPv6 地址 2607:f8b0:4008:802::2004 可以看到,它首先解析到一个 ip6.arpa 主机名,然后再解析到一个常规主机名,如下所示。

企业微信截图_17730259452448

钓鱼活动对 .arpa 域名的滥用

Infoblox 观测到的一起钓鱼攻击活动,利用了 ip6.arpa 反向 DNS 顶级域名。该域名通常通过 PTR 记录将 IPv6 地址映射回主机名。

然而,攻击者发现,如果他们申请到属于自己的 IPv6 地址段,就可以滥用该 IP 段对应的反向 DNS 区域,为钓鱼网站配置额外的 DNS 记录

在正常的 DNS 功能中,反向 DNS 域名仅用于 PTR 记录,使系统能够查询与某个 IP 地址关联的主机名。

但攻击者发现,一旦控制了某段 IPv6 地址对应的 DNS 区域,部分 DNS 管理平台允许他们配置其他类型的记录,这些记录可被滥用于钓鱼攻击。

Infoblox 解释称:“我们发现威胁行为者利用 Hurricane Electric 与 Cloudflare 创建这类记录 —— 两者均拥有良好信誉,攻击者正是利用了这一点 —— 并且我们确认其他一些 DNS 服务商也允许此类配置。”

“我们的测试并非全覆盖,但我们已向发现存在安全漏洞的服务商进行了通报。图 2 展示了威胁行为者创建钓鱼邮件中所用域名的流程。”

为搭建相关基础设施,攻击者首先通过 IPv6 隧道服务获取一段 IPv6 地址。

企业微信截图_1773026024308Infoblox 关于 .arpa 顶级域在钓鱼邮件中如何被滥用的分析综述 (来源:Infoblox)

在获得地址段的控制权后,攻击者利用该 IPv6 地址段生成反向 DNS 主机名,并使用随机生成的子域名,使其难以被检测或拦截

攻击者并未按预期配置 PTR 记录,而是创建 A 记录,将这些反向 DNS 域名指向承载钓鱼网站的基础设施。

该攻击活动中的钓鱼邮件使用奖品、调查奖励或账户通知等诱饵。这些诱饵以图片形式嵌入邮件,图片链接指向 IPv6 反向 DNS 记录,例如 d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa,而非常规主机名,因此目标用户不会看到奇怪的 arpa 主机名。

企业微信截图_17730263026120

当受害者点击钓鱼邮件中的图片时,设备会通过 DNS 服务商解析由攻击者控制的反向 DNS 服务器

企业微信截图_17730263467248使用.arpa 主机名展示图片和链接的 HTML 代码 (来源:Infoblox)

在部分案例中,权威域名服务器由 Cloudflare 托管,反向 DNS 域名解析到 Cloudflare IP 地址,从而隐藏后端钓鱼基础设施的真实位置。

点击图片后,受害者会经过流量分发系统(TDS)跳转,该系统通常根据设备类型、IP 地址、网页来源等条件判断访客是否为有效目标。若通过验证,则跳转到钓鱼网站;否则跳转到合法网站。

Infoblox 表示,这类钓鱼链接生命周期很短,仅活跃数天。链接失效后,会跳转到域名错误页面或其他合法网站

研究人员认为,此举是为了增加安全研究人员分析和调查钓鱼攻击的难度。

此外,由于 .arpa 域名是为互联网基础设施保留的,它不包含普通注册域名所具备的信息,例如 WHOIS 信息、域名年龄、联系方式等。这使得邮件网关与安全工具更难检测恶意域名。

研究人员还观测到,该钓鱼活动同时使用了其他技术,例如劫持悬空 CNAME 记录与子域名影子化技术,使攻击者能够通过与合法机构关联的子域名投放钓鱼内容。

Infoblox 解释称:“我们发现超过 100 个案例中,威胁行为者劫持了知名政府机构、大学、电信公司、媒体机构和零售商的 CNAME 记录。”

通过将安全工具所信任的反向 DNS 功能武器化,攻击者可以生成能够绕过传统检测手段的钓鱼 URL

与往常一样,防范此类钓鱼攻击的最佳方式是避免点击邮件中意外出现的链接,而是直接通过官方网站访问相关服务

 

消息来源:bleepingcomputer.com

本文由 HackerNews.cc 翻译整理,封面来源于网络;

转载请注明“转自 HackerNews.cc”并附上原文