Palo Alto Network, una empresa estadounidense de ciberseguridad, no pierde tiempo ni siquiera en vacaciones y dos días antes de Año Nuevo publicaron su investigación bastante informativa sobre dominios estratégicamente envejecidos y las amenazas que representan.. Según la publicación, dichos dominios presentan un riesgo incluso mayor que los dominios recién registrados. (NRD). En comparación con los datos recibidos en la investigación, dominios inactivos maliciosos que tienen tráfico limitado durante meses o años de repente pueden ganar más de 10.3 veces el aumento del tráfico en un día. Es tres veces mayor que en los dominios recién registrados..
Por poco 30,000 dominios resultaron ser maliciosos
Con la ayuda de un detector basado en la nube especialistas dominios observados’ actividades y podría identificar estos dominios estratégicamente envejecidos. Recibieron casi 30,000 dominios todos los días utilizando datos pasivos del sistema de nombres de dominio (Un mecanismo para almacenar el sistema de nombres de dominio que luego ayuda a identificar infraestructuras maliciosas.). Como resultado 22.27% de ellos resultó no ser seguro para el trabajo, sospechoso o malicioso.
Al realizar sus investigaciones, los especialistas utilizaron la información disponible sobre el ataque a la cadena de suministro de SolarWinds. (Troyano SUNBURST) caso. Investigaron la campaña maliciosa para descubrir cualquiera de sus características que luego podrían ayudar a detectar amenazas persistentes avanzadas comunes. (APT). En el curso de la investigación, los especialistas se encontraron con un hecho interesante de que el mando y el control (C2) Actores de amenazas de dominio registrados hace algunos años antes de lanzar un vigoroso trabajo de penetración en el dominio..
Los dominios estratégicamente envejecidos dan ventaja en el tiempo
Los especialistas de Palo Alto dicen que este tipo de comportamiento es típico de los ataques APT cuando los actores de amenazas troyanos permanecer inactivo mucho tiempo en las víctimas’ redes antes de que los operadores decidan lanzar un ataque real. Adicionalmente, los actores de amenazas registran múltiples dominios. Ahí es cuando uno de ellos se bloquea, pueden reiniciar rápidamente las operaciones maliciosas con otro.. No solo los ataques ATP pueden llevarse a cabo con éxito en dominios estratégicamente envejecidos, sino también la optimización de motores de búsqueda de sombrero negro (SEO), phishing y comando y control. El motivo del despliegue de los dominios estratégicamente envejecidos se puede explicar en el mecanismo de trabajo de reputación.. Se tarda más en detectarlos porque es posible que dichos dominios ya desarrollen una reputación amigable con el tiempo cuando de repente inician una actividad maliciosa..
Durante el mencionado ataque a la cadena de suministro de SolarWinds, los actores crearon algoritmos de generación de dominios de ejercicio de troyanos. (DGA). De tal manera, exfiltraron las identidades de las máquinas objetivo con subdominios.. Para detectar ataques APT similares, los especialistas ejecutan un análisis de todos los nombres de host. Es decir, el escaneo de dominios estratégicamente envejecidos que identifican aquellos con una cantidad significativa de subdominios DGA emergentes. Aquellos que pueden estar potencialmente atacando dominios. Los resultados mostrados sobre 161 subdominios DGA generados que llevan 43.19% de tráfico en ráfagas.
Los especialistas dividieron los dominios escaneados en cuatro grupos: otro, no seguro para el trabajo, sospechoso y malicioso. Grupo malicioso incluido phishing, gres, Comando y control, malware y otros elementos detectados por los proveedores de VirusTotal. Grupo sospechoso reunido de alto riesgo, Contenido insuficiente, dominios cuestionables y aparcados. Juego, adulto, desnudez y similares fueron al grupo no seguro para el trabajo. El resto que no pudo ser identificado de ninguna manera fue nombrado el otro grupo.. Mirando desde una perspectiva porcentual 3.8% de los dominios estratégicamente envejecidos exhibieron comportamientos maliciosos. Es más alto que el de los NRD, cual es 1.27%.
