Wenn Sie an die Türen von Strategicly Aged Domains klopfen

Palo Alto-Netzwerk, ein amerikanisches Cybersicherheitsunternehmen, verschwendet auch an Feiertagen keine Zeit und veröffentlichte zwei Tage vor Neujahr ihre recht aufschlussreichen Recherchen zu strategisch gealterten Domänen und deren Bedrohungen. Laut Post stellen solche Domains ein noch größeres Risiko dar als neu registrierte Domains (NRDs). Im Vergleich zu den in der Forschung erhaltenen Daten, bösartige ruhende Domains mit eingeschränktem Datenverkehr für Monate bis Jahre können plötzlich mehr als . gewinnen 10.3 mal das Verkehrsaufkommen innerhalb eines Tages. Es ist dreimal höher als bei diesen neu registrierten Domains.

Fast 30,000 Domains erwiesen sich als bösartig

Mit Hilfe eines Cloud-basierten Detektors Spezialisten beobachtete Domänen’ Aktivitäten und könnte diese strategisch gealterten Domänen lokalisieren. Sie erhielten fast 30,000 Domains jeden Tag mit passiven Domain Name System-Daten (Ein Mechanismus zum Speichern von Domain Name System, der anschließend bei der Identifizierung bösartiger Infrastrukturen hilft). Als Ergebnis 22.27% von ihnen stellte sich als nicht sicher für die Arbeit heraus, verdächtig oder bösartig.

Bei der Durchführung ihrer Recherchen nutzten die Spezialisten die verfügbaren Informationen über den Angriff auf die Lieferkette von SolarWinds (SUNBURST-Trojaner) Fall. Sie untersuchten die bösartige Kampagne, um alle ihre Merkmale aufzudecken, die dann bei der Erkennung allgemeiner fortgeschrittener persistenter Bedrohungen helfen könnten (APTs). Bei den Ermittlungen stießen die Spezialisten auf eine interessante Tatsache, dass Command and Control (C2) Domainbedrohungsakteure haben sich vor einigen Jahren registriert, bevor sie energische Penetrationsarbeiten in die Domain eingeleitet haben.

Strategisch gealterte Domänen verschaffen einen Zeitvorteil

Die Spezialisten von Palo Alto sagen, dass ein solches Verhalten typisch für APT-Angriffe ist, wenn Bedrohungsakteure auftreten Trojaner bei Opfern lange inaktiv bleiben’ Netze, bevor die Betreiber beschließen, einen tatsächlichen Angriff zu starten. In Ergänzung, Bedrohungsakteure registrieren mehrere Domänen. Wenn einer von ihnen blockiert wird, können sie bösartige Operationen schnell mit einem anderen neu starten. Nicht nur ATP-Angriffe können erfolgreich auf strategisch gealterte Domains durchgeführt werden, sondern auch Black-Hat-Suchmaschinenoptimierung (SEO), Phishing und Command and Control. Der Grund für den Einsatz strategisch gealterter Domänen kann in der Arbeit des Reputationsmechanismus erklärt werden. Es dauert länger, sie zu erkennen, da solche Domänen im Laufe der Zeit bereits einen guten Ruf entwickeln können, wenn sie plötzlich bösartige Aktivitäten starten.

Wenn Sie an die Türen von Strategicly Aged Domains klopfen
Bösartige strategisch gealterte Domains sehen normalerweise so aus

Während des erwähnten SolarWinds-Supply-Chain-Angriffs führten Bedrohungsakteure Trojaner dazu, Domänengenerierungsalgorithmen auszuüben (DGA). Auf diese Weise exfiltrierten sie die Identitäten der Zielmaschinen mit Subdomains. Um ähnliche APT-Angriffe zu erkennen, führen Spezialisten einen Scan aller Hostnamen durch. Nämlich der Scan strategisch gealterter Domänen, um diejenigen mit einer erheblichen Anzahl neu entstehender DGA-Subdomänen zu lokalisieren. Diejenigen, die potenziell Domänen angreifen können. Ergebnisse zeigten ungefähr 161 generierte DGA-Subdomains mit 43.19% von geplatztem Verkehr.

Spezialisten teilten die gescannten Domänen in vier Gruppen ein: andere, nicht sicher für die Arbeit, misstrauisch und bösartig. Zu den bösartigen Gruppen gehörte Phishing, Grauware, Steuerung und Kontrolle, Malware und andere Elemente, die von VirusTotal-Anbietern entdeckt wurden. Verdächtige Gruppe versammelt hohes Risiko, unzureichender Inhalt, fragwürdige und geparkte Domains. Glücksspiel, Erwachsene, Nacktheit und ähnliches ging in die Arbeitsgruppe „Nicht sicher“. Der Rest, der auf keine Weise identifiziert werden konnte, wurde die andere Gruppe genannt. Blick aus einer prozentualen Perspektive 3.8% der strategisch gealterten Domänen zeigten böswilliges Verhalten. Es ist höher als das von NRDs, welches ist 1.27%.

Andrew Nagel

Cybersicherheitsjournalist aus Montreal, Kanada. Studium der Kommunikationswissenschaften an der Universite de Montreal. Ich war mir nicht sicher, ob ein Journalistenjob das ist, was ich in meinem Leben machen möchte, aber in Verbindung mit technischen Wissenschaften, genau das mache ich gerne. Meine Aufgabe ist es, die aktuellsten Trends in der Welt der Cybersicherheit zu erfassen und Menschen dabei zu helfen, mit Malware umzugehen, die sie auf ihren PCs haben.

Hinterlasse eine Antwort

Schaltfläche "Zurück zum Anfang"