팔로알토 네트워크, 미국 사이버 보안 회사, 휴일과 새해 이틀 전에도 시간을 낭비하지 않습니다.. 게시물에 따르면 이러한 도메인은 새로 등록된 도메인보다 훨씬 더 큰 위험을 나타냅니다. (NRD). 연구에서 얻은 데이터와 비교하여, 몇 달에서 몇 년 동안 트래픽이 제한된 악의적인 휴면 도메인은 갑자기 10.3 하루 동안 트래픽 증가 배. 새로 등록된 도메인보다 3배 이상 높습니다..
거의 30,000 도메인이 악성으로 판명되었습니다.
클라우드 기반 감지기의 도움으로 전문가 관찰 영역’ 활동을 수행하고 이러한 전략적으로 오래된 영역을 정확히 찾아낼 수 있습니다.. 그들은 거의 30,000 수동 도메인 이름 시스템 데이터를 사용하여 매일 도메인 (나중에 악성 인프라를 식별하는 데 도움이 되는 도메인 이름 시스템을 저장하는 메커니즘). 결과 22.27% 그들 중 작업에 안전하지 않은 것으로 판명, 의심스럽거나 악의적인.
연구를 수행할 때 전문가는 SolarWinds 공급망 공격에 대한 정보를 사용했습니다. (선버스트 트로이 목마) 사례. 그들은 일반적인 지능형 지속적 위협을 탐지하는 데 도움이 될 수 있는 특성을 발견하기 위해 악성 캠페인을 조사했습니다. (APT). 조사 과정에서 전문가들은 명령과 통제가 필요하다는 흥미로운 사실을 발견했습니다. (C2) 도메인에 대한 활발한 침투 작업을 시작하기 몇 년 전에 등록된 도메인 위협 행위자.
전략적으로 오래된 도메인은 적시에 이점을 제공합니다.
Palo Alto의 전문가들은 이러한 종류의 행동은 위협 행위자가 트로이 목마 희생자들에게 오랫동안 비활동적 상태를 유지하다’ 운영자가 실제 공격을 시작하기 전에 네트워크. 게다가, 위협 행위자는 여러 도메인을 등록합니다.. 그 중 하나가 차단되면 다른 것으로 악의적인 작업을 빠르게 다시 시작할 수 있습니다.. ATP 공격은 전략적으로 오래된 도메인에서 성공적으로 수행될 수 있을 뿐만 아니라 블랙햇 검색 엔진 최적화도 수행할 수 있습니다. (SEO), 피싱 및 명령 및 제어. 전략적으로 노후된 도메인의 배치 이유는 평판 메커니즘 작업에서 설명할 수 있습니다.. 이러한 도메인은 갑자기 악의적인 활동을 시작할 때 시간이 지남에 따라 이미 친숙한 평판을 얻었을 수 있으므로 탐지하는 데 시간이 더 오래 걸립니다..
언급된 SolarWinds 공급망 공격 동안 위협 행위자는 트로이 목마 운동 도메인 생성 알고리즘을 만들었습니다. (DGA). 이러한 방식으로 하위 도메인이 있는 대상 시스템의 ID를 유출했습니다.. 유사한 APT 공격을 탐지하기 위해 전문가는 모든 호스트 이름을 검사합니다.. 즉, 상당한 양의 신흥 DGA 하위 도메인이 있는 도메인을 정확히 찾아내는 전략적으로 오래된 도메인 스캔. 잠재적으로 도메인을 공격할 수 있는 항목. 결과는 약 161 생성된 DGA 하위 도메인 43.19% 버스트 트래픽의.
전문가들은 스캔된 도메인을 4개의 그룹으로 나눴습니다.: 다른, 직장에 안전하지 않다, 의심스럽고 악의적인. 피싱이 포함된 악성 그룹, 그레이웨어, 명령 및 제어, VirusTotal 공급업체가 탐지한 맬웨어 및 기타 요소. 수상한 그룹이 모여 고위험군, 콘텐츠 부족, 의심스러운 도메인 및 선점 도메인. 도박, 성인, 누드 및 이와 유사한 작업 그룹에 안전하지 않음. 어느 쪽이든 식별 할 수없는 나머지는 다른 그룹으로 명명되었습니다.. 백분율 관점에서 보면 3.8% 전략적으로 오래된 도메인 중 악의적인 행동을 보임. NRD보다 높습니다., 이다 1.27%.
