Aunque es una mala práctica e inseguro utilizar un dominio totalmente calificado que no es de su propiedad como dominio interno de Active Directory, históricamente algunas organizaciones lo han hecho por conveniencia. Digamos, por ejemplo, que una organización no es propietaria del nombre de dominio que es el acrónimo de su nombre completo seguido de .com o .org porque ese dominio se registró hace décadas en los primeros días de Internet. Sin embargo, elige usarlo internamente en su red Windows porque es fácil de recordar y escribir y no está diseñado para acceder a él externamente.
Sin embargo, las redes son complejas y su topología cambia con el tiempo, por lo que en algún momento alguna aplicación interna o una computadora sacada de la red podría comenzar a realizar consultas para ese dominio en la Internet abierta, exponiendo información sobre la red. La organización también podría exponer accidentalmente un solucionador de DNS interno (un servidor destinado a resolver DNS para clientes locales) a Internet o abrir un puerto en su enrutador o firewall para dirigir la solicitud de DNS a un solucionador interno. Esto luego se convierte en un «resolvedor abierto» en Internet y los resolutores abiertos son recursos de los que los atacantes pueden abusar para lanzar ataques DDoS a través de técnicas como la reflexión y amplificación de DNS.
Normalmente, las consultas de registros MX para un dominio las reenvía un solucionador de DNS al servidor DNS autorizado para ese dominio. Si el dominio no tiene registro MX, la respuesta será un error NXDOMAIN (dominio inexistente). Este debería ser el caso de la mayoría de las consultas enviadas por Muddleling Meerkat porque están consultando direcciones IP en Internet en busca de registros MX para subdominios inexistentes, probablemente con la intención de identificar resolutores abiertos dentro de las redes que aceptarían sus solicitudes.
Gran Firewall de inyección de DNS de China
Lo que observaron los investigadores de Infoblox es que las direcciones IP que realizaban las consultas eran principalmente chinas y no parecían falsificadas, lo que hacía más probable que el grupo estuviera usando servidores dedicados para realizar la investigación. Además, algunos de los dominios de destino elegidos tenían sus servidores de nombres autorizados también alojados en China.
Esto significa que el GFW estaba en la ruta de enrutamiento para estas solicitudes y, por lo tanto, podía inyectar respuestas. Normalmente, GFW es conocido por inyectar respuestas DNS falsas para dominios y sitios web a los que el gobierno no quiere que accedan los usuarios y esas respuestas dirigirán las solicitudes a una serie de direcciones IP probablemente controladas por el gobierno.
Infoblox notó un comportamiento de GFW similar para las consultas MX iniciadas por Mddling Meerkat, donde en lugar de errores de NXDOMAIN, las respuestas incluían direcciones IP chinas que en realidad no tenían el puerto 53 abierto, por lo que tampoco eran servidores DNS. Esto fue desconcertante porque es la primera vez que GFW falsifica respuestas MX y parece hacerlo para subdominios inexistentes y generados aleatoriamente que no tienen valor de censura porque muchos de los principales dominios objetivo están inactivos y no ofrecen ningún contenido. .
