Palo Alto Netwerk, een Amerikaans cyberbeveiligingsbedrijf, verspilt geen tijd, zelfs niet op vakanties en twee dagen voor nieuwjaar publiceerden hun behoorlijk informatieve onderzoek over strategisch verouderde domeinen en welke bedreigingen ze vormen. Volgens de post vormen dergelijke domeinen een nog groter risico dan die nieuw geregistreerde domeinen (NRD's). In vergelijking met de gegevens die in het onderzoek zijn ontvangen, kwaadaardige slapende domeinen die maanden tot jaren beperkt verkeer hebben, kunnen plotseling meer opleveren dan 10.3 keer dat het verkeer binnen één dag toeneemt. Het is drie keer hoger dan in die nieuw geregistreerde domeinen.
Bijna 30,000 domeinen bleken kwaadaardig te zijn
Met behulp van een cloudgebaseerde detector specialisten waargenomen domeinen’ activiteiten en deze strategisch verouderde domeinen kunnen lokaliseren. Ze ontvingen bijna 30,000 domeinen die elke dag passieve domeinnaamsysteemgegevens gebruiken (Een mechanisme voor het opslaan van Domain Name System dat achteraf helpt bij het identificeren van kwaadaardige infrastructuren). Als gevolg 22.27% van hen bleek niet veilig om te werken, verdacht of kwaadaardig.
Bij het uitvoeren van hun onderzoek gebruikten specialisten de beschikbare informatie over aanvallen op de toeleveringsketen van SolarWinds (SUNBURST trojan) geval. Ze onderzochten de kwaadaardige campagne om een van de kenmerken ervan te ontdekken die vervolgens zouden kunnen helpen bij het detecteren van veelvoorkomende geavanceerde persistente bedreigingen (APT's). In de loop van het onderzoek kwamen specialisten een interessant feit tegen dat command and control (C2) domeinbedreigingsactoren die zich enkele jaren geleden hebben geregistreerd voordat ze krachtig penetratiewerk op het domein lanceerden.
Strategisch verouderde domeinen geven voordeel in de tijd
De specialisten van Palo Alto zeggen dat dergelijk gedrag typerend is voor APT-aanvallen wanneer dreigingsactoren Trojans lang inactief blijven bij slachtoffers’ netwerken voordat de operators besluiten een daadwerkelijke aanval uit te voeren. In aanvulling op, dreigingsactoren registreren meerdere domeinen. Dat is wanneer een van hen wordt geblokkeerd, ze kunnen snel kwaadaardige operaties herstarten met een andere. Niet alleen ATP-aanvallen kunnen met succes worden uitgevoerd op strategisch verouderde domeinen, maar ook op black hat-zoekmachineoptimalisatie (SEO), phishing en commando en controle. De reden voor de inzet van de strategisch verouderde domeinen kan worden verklaard in het werk van het reputatiemechanisme. Het duurt langer om ze te detecteren, omdat dergelijke domeinen in de loop van de tijd al een vriendelijke reputatie kunnen ontwikkelen wanneer ze plotseling kwaadaardige activiteiten beginnen.
Tijdens de genoemde aanval op de toeleveringsketen van SolarWinds hebben bedreigingsactoren de trojan algoritmen voor het genereren van domeinen laten oefenen (DGA). Op zo'n manier hebben ze de identiteiten van doelmachines geëxfiltreerd met subdomeinen. Om vergelijkbare APT-aanvallen te detecteren, voeren specialisten een scan uit van alle hostnamen. Namelijk de scan van strategisch verouderde domeinen om die te lokaliseren met een aanzienlijk aantal opkomende DGA-subdomeinen. Degenen die mogelijk domeinen kunnen aanvallen. Resultaten toonden ongeveer 161 gegenereerde DGA-subdomeinen die 43.19% van burst-verkeer.
Specialisten verdeelden de gescande domeinen in vier groepen: anders, niet veilig voor werk, verdacht en kwaadaardig. Kwaadaardige groep omvatte phishing, grijsgoed, commando en controle, malware en andere elementen gedetecteerd door VirusTotal-leveranciers. Verdachte groep verzameld hoog risico, onvoldoende inhoud, dubieuze en geparkeerde domeinen. gokken, volwassen, naaktheid en dergelijke gingen naar de niet veilig voor werkgroep. De rest die op geen enkele manier kon worden geïdentificeerd, werd de andere groep genoemd. Kijken vanuit een procentueel perspectief 3.8% van strategisch verouderde domeinen vertoonden kwaadaardig gedrag. Het is hoger dan dat van NRD's, wat is? 1.27%.
