Palo Alto netværk, et amerikansk cybersikkerhedsfirma, spilder ingen tid, selv på helligdage og to dage før nytår offentliggjorde deres ret informative forskning om strategisk ældede domæner og hvilke trusler de udgør. Ifølge posten udgør sådanne domæner en endnu større risiko end de nyregistrerede domæner (NRD'er). Sammenlignet med data modtaget i forskningen, ondsindede sovende domæner, der har begrænset trafik i måneder til år, kan pludselig vinde mere end 10.3 gange øges trafikken i løbet af en dag. Det er tre gange højere end i de nyregistrerede domæner.
Næsten 30,000 domæner viste sig at være ondsindede
Ved hjælp af en sky-baseret detektor specialister observerede domæner’ aktiviteter og kunne udpege disse strategisk ældnede domæner. De fik næsten 30,000 domæner hver dag ved hjælp af passive domænenavnesystemdata (En mekanisme til lagring af Domain Name System, der efterfølgende hjælper med at identificere ondsindede infrastrukturer). Som resultat 22.27% af dem viste sig ikke at være arbejdssikre, mistænkelig eller ondsindet.
Under udførelsen af deres forskning brugte specialister tilgængelig information om SolarWinds forsyningskædeangreb (SUNBURST trojan) sag. De undersøgte den ondsindede kampagne for at afsløre nogen af dens karakteristika, der derefter kunne hjælpe med at opdage almindelige avancerede vedvarende trusler (APT'er). I løbet af undersøgelsen specialister stødte på en interessant kendsgerning, at kommando og kontrol (C2) domænetrusselsaktører registrerede sig for nogle år siden, før de lancerede et kraftigt penetrationsarbejde på domænet.
Strategisk ældede domæner giver fordel i tid
Palo Altos specialister siger, at en sådan adfærd er typisk for APT-angreb, når trusselsaktører trojanere forblive inaktiv længe hos ofre’ netværk, før operatørerne beslutter sig for at iværksætte et egentligt angreb. Desuden, trusselsaktører registrerer flere domæner. Det er, når en af dem bliver blokeret, kan de hurtigt genstarte ondsindede handlinger med en anden. Ikke kun ATP-angreb kan med succes udføres på strategisk ældrede domæner, men også sort hat søgemaskineoptimering (SEO), phishing og kommando og kontrol. Årsagen til de strategisk gamle domæners udbredelse kan forklares i arbejdet med omdømmemekanismen. Det tager længere tid at opdage dem, fordi sådanne domæner allerede kan udvikle et venligt omdømme over tid, når de pludselig starter ondsindet aktivitet.
Under den nævnte SolarWinds forsyningskæde angreb truslen aktører lavet trojanske træningsdomænegenereringsalgoritmer (DGA). På en sådan måde eksfiltrerede de identiteterne af målmaskiner med underdomæner. For at opdage lignende APT-angreb kører specialister en scanning af alle værtsnavne. Nemlig scanningen af strategisk ældede domæner, der lokaliserer dem med en betydelig mængde nye DGA-underdomæner. Dem, der potentielt kan angribe domæner. Resultater viste ca 161 genererede DGA-underdomæner, der bærer 43.19% af sprængt trafik.
Specialister opdelte de scannede domæner i fire grupper: Andet, ikke sikkert for arbejde, mistænkelige og ondsindede. Ondsindet gruppe inkluderede phishing, gråtøj, kommando og kontrol, malware og andre elementer opdaget af VirusTotal-leverandører. Mistænkelig gruppe samlet høj risiko, utilstrækkeligt indhold, tvivlsomme og parkerede domæner. Gambling, voksen, nøgenhed og lignende gik til ikke sikker for arbejdsgruppen. Resten, der ikke kunne identificeres på nogen måde, blev navngivet den anden gruppe. Ser fra et procentperspektiv 3.8% af strategisk ældede domæner udviste ondsindet adfærd. Det er højere end NRD'ers, som er 1.27%.
