黑产团伙滥用 .arpa 域名与 IPv6 反向 DNS 实施钓鱼攻击

网络黑产团伙正在滥用专用顶级域名.arpa以及 IPv6 反向域名解析DNS开展钓鱼活动此类攻击可更轻松地绕过域名信誉检测机制与邮件安全网关。一、.arpa 域名是什么.arpa是为互联网基础设施预留的特殊顶级域名并非用于普通网站主要用于反向 DNS 解析即让系统将 IP 地址反向映射为对应的主机名。正向解析 vs 反向解析示例以 Google 为例www.google.com的 IP 地址为IPv4:192.178.50.36IPv6:2607:f8b0:4008:802::2004IPv4 反向解析in-addr.arpa使用dig工具查询 Google 的 IPv4 地址bash复制dig -x 192.178.50.36输出结果plain复制; QUESTION SECTION: ;36.50.178.192.in-addr.arpa. IN PTR ; ANSWER SECTION: 36.50.178.192.in-addr.arpa. 1386 IN PTR lcmiaa-aa-in-f4.1e100.net.IPv6 反向解析ip6.arpa查询 Google 的 IPv6 地址bash复制dig -x 2607:f8b0:4008:802::2004输出结果plain复制; QUESTION SECTION: ;4.0.0.2.0.0.0.0.0.0.0.0.0.0.0.0.2.0.8.0.8.0.0.4.0.b.8.f.7.0.6.2.ip6.arpa. IN PTR ; ANSWER SECTION: 4.0.0.2.0.0.0.0.0.0.0.0.0.0.0.0.2.0.8.0.8.0.0.4.0.b.8.f.7.0.6.2.ip6.arpa. 78544 IN PTR tzmiaa-af-in-x04.1e100.net. 4.0.0.2.0.0.0.0.0.0.0.0.0.0.0.0.2.0.8.0.8.0.0.4.0.b.8.f.7.0.6.2.ip6.arpa. 78544 IN PTR mia07s48-in-x04.1e100.net.二、钓鱼攻击如何滥用 .arpa 域名安全研究员观测到的一起钓鱼攻击活动正是利用了ip6.arpa这一反向 DNS 顶级域名。正常情况下该域名仅用于 PTR 记录实现 IPv6 地址到主机名的反向映射。攻击原理核心发现攻击者只要申请并持有一段专属的 IPv6 地址段就可以控制该网段对应的反向 DNS 区域并在其中配置额外的 DNS 记录用于搭建钓鱼站点。在标准 DNS 功能中反向 DNS 域名仅用于 PTR 记录用于查询 IP 对应的主机名。然而攻击者发现在获取某段 IPv6 地址的 DNS 区域控制权后部分 DNS 管理平台允许其配置非 PTR 类型的记录进而被滥用于钓鱼攻击。研究员指出黑产团伙利用Hurricane Electric与Cloudflare平台创建此类记录——这两家服务商本身信誉良好攻击者正是利用了这一点。同时其他部分 DNS 服务商也支持此类配置。三、攻击流程详解步骤 1获取 IPv6 地址段为搭建攻击基础设施攻击者先通过IPv6 隧道服务获取一段 IPv6 地址。步骤 2生成反向 DNS 主机名在获得地址段控制权后攻击者基于该 IPv6 网段生成反向 DNS 主机名并搭配随机子域名使其难以被检测和封堵。步骤 3创建 A 记录指向钓鱼服务器与常规配置 PTR 记录不同攻击者直接创建A 记录将这些反向 DNS 域名指向钓鱼站点服务器。步骤 4构造钓鱼邮件该钓鱼活动中的邮件通常以奖品、调研奖励或账户通知为诱饵并将恶意链接伪装成图片嵌入邮件。步骤 5受害者点击与跳转链接地址如plain复制d.d.e.0.6.3.0.0.0.7.4.0.1.0.0.2.ip6.arpa而非常规域名受害者在界面上无法直接看到可疑的 .arpa 域名。当受害者点击钓鱼邮件中的图片时设备会通过第三方 DNS 服务商解析到攻击者控制的反向 DNS 域名服务器。在部分案例中权威域名服务器由Cloudflare托管反向 DNS 域名最终解析至 Cloudflare IP从而隐藏后端钓鱼基础设施的真实位置。四、流量分发与反溯源机制点击图片后受害者会先被跳转至流量分发系统TDS。该系统会根据以下条件判断目标是否有效设备类型IP 地址页面来源符合条件者→ 跳转到钓鱼页面不符合条件者→ 跳转到正常网站短存活周期此类钓鱼链接存活时间极短通常仅有效数天。链接失效后会跳转至域名错误页面或正规网站。研究人员认为这种做法是为了增加安全研究人员分析与溯源的难度。五、为何难以检测1. 缺乏 WHOIS 信息由于 .arpa 域名专用于互联网基础设施不包含普通注册域名的公开信息如WHOIS 注册信息域名年龄联系方式这导致邮件网关与安全工具更难识别其恶意属性。2. 利用可信服务商攻击者借助Hurricane Electric和Cloudflare等信誉良好的服务商托管基础设施进一步降低了被标记为恶意的概率。3. 结合多种攻击手段研究人员还发现该钓鱼活动同时结合了其他攻击手段包括劫持悬空 CNAME 记录子域名影子劫持使攻击者能够借助正规机构的子域名下发钓鱼内容。研究员目前已发现超过 100 个相关案例攻击者劫持了知名政府机构、高校、电信运营商、媒体机构及零售企业的 CNAME 记录。通过将安全工具普遍信任的反向 DNS 机制武器化攻击者可生成能够绕过传统检测规则的钓鱼 URL。六、防御建议与所有钓鱼防御建议一致抵御此类攻击最有效的方式仍是⚠️避免点击邮件中来历不明的链接直接通过官方网站访问相关服务。补充建议加强邮件网关规则增加对.arpa域名的检测与告警监控反向 DNS 异常关注非 PTR 类型记录的配置用户安全意识培训教育员工识别可疑邮件特征多因素认证MFA即使凭证泄露也能增加攻击难度