Een kwetsbaarheid in veel DNS-servers zorgt ervoor dat domeinnamen die uit de lucht gehaald zijn, nog steeds blijven functioneren. Het Domain Name System (DNS) fungeert als het telefoonboek voor internet, en zorgt ervoor dat gebruikers domeinnamen kunnen gebruiken in plaats van dat ze IP-adressen moeten onthouden en invoeren.

Veel cybercriminelen gebruiker domeinnamen voor phishingsites, het aansturen van botnets of het verspreiden van malware. In het geval de autoriteiten een kwaadaardige website ontdekken en willen uitschakelen, wordt de domeinnaam van de Top Level Domain (TLD) of "upper level" DNS servers verwijderd. Zodra de Time To Live (TTL) van het domein verloopt, zou die niet meer toegankelijk moeten zijn.

Kwetsbaarheid
Uit onderzoek met 19.000 open DNS-servers, bleek dat zelfs een week nadat een domeinnaam is ingetrokken en de TTL verlopen is, de domeinnaam bij meer dan 70% van de servers nog steeds werkt. De kwetsbaarheid wordt veroorzaakt door een probleem in de "cache update logica" van sommige DNS-servers. In dit geheugen bewaren de servers de details van de domeinnaam, zodat ze die niet steeds opnieuw hoeven op te vragen.

Spookdomeinnaam
Via de aanval is het mogelijk om de cache op zo'n manier te overschrijven, dat het mogelijk is om de TTL voor de delegatie van de gegevens van een bepaalde domeinnaam te blijven verlengen, zodat die nooit verloopt. De domeinnaam blijft gewoon werken, ook al is die van de TLD-servers verwijderd. Iets wat de onderzoekers spookdomeinnamen noemen.

In het geval van een botnet zou de botnetbeheerder zo via de domeinnaam met besmette machines kunnen blijven communiceren, ook al hebben de autoriteiten de domeinnaam uit de lucht gehaald. Het probleem speelt bij bijna alle DNS-server implementaties, waaronder BIND, Microsoft, Google en OpenDNS. Er zijn echter nog geen aanwijzingen dat deze kwetsbaarheid ook misbruikt wordt.