Palo Alto nettverk, et amerikansk cybersikkerhetsselskap, kaster ikke bort tid selv på helligdager og to dager før nyttår publiserte sin ganske informative forskning om strategisk aldrede domener og hvilke trusler de utgjør. I følge innlegget har slike domener en enda større risiko enn de nylig registrerte domenene (NRD-er). Sammenlignet med data mottatt i forskningen, ondsinnede sovende domener som har begrenset trafikk i måneder til år plutselig kan få mer enn 10.3 ganger trafikken øke i løpet av en dag. Det er tre ganger høyere enn i de nylig registrerte domenene.
Nesten 30,000 domener viste seg å være skadelige
Ved hjelp av en skybasert detektor spesialister observerte domener’ aktiviteter og kunne identifisere disse strategisk aldrende domenene. De fikk nesten 30,000 domener hver dag ved hjelp av passive domenenavnsystemdata (En mekanisme for lagring av Domain Name System som etterpå hjelper til med å identifisere skadelig infrastruktur). Som et resultat 22.27% av dem viste seg å være usikre for arbeid, mistenkelig eller ondsinnet.
Ved å utføre sine undersøkelser brukte spesialistene informasjon tilgjengelig om SolarWinds forsyningskjedeangrep (SUNBURST trojaner) sak. De undersøkte den ondsinnede kampanjen for å avdekke noen av dens egenskaper som deretter kunne hjelpe til med å oppdage vanlige avanserte vedvarende trusler (APT-er). I løpet av etterforskningen kom spesialister over et interessant faktum som kommando og kontroll (C2) aktører i domenetrusselen registrerte seg for noen år siden før de startet kraftig penetrasjonsarbeid på domenet.
Strategisk eldre domener gir fordel i tid
Palo Altos spesialister sier at slik oppførsel er typisk for APT-angrep når trusselaktører trojanere forbli inaktiv lenge hos ofre’ nettverk før operatørene bestemmer seg for å sette i gang et faktisk angrep. I tillegg, trusselaktører registrerer flere domener. Det er når en av dem blir blokkert, kan de raskt starte ondsinnede operasjoner på nytt med en annen. Ikke bare ATP-angrep kan gjennomføres på strategisk aldrende domener, men også black hat søkemotoroptimalisering (SEO), phishing og kommando og kontroll. Årsaken til utplasseringen av de strategisk aldrede domenene kan forklares i arbeidet med omdømmemekanismen. Det tar lengre tid å oppdage dem fordi slike domener allerede kan utvikle et vennlig rykte over tid når de plutselig starter ondsinnet aktivitet.
Under den nevnte SolarWinds forsyningskjeden angrep trussel aktører laget trojanske treningsdomene genereringsalgoritmer (DGA). På en slik måte eksfiltrerte de identitetene til målmaskiner med underdomener. For å oppdage lignende APT-angrep kjører spesialister en skanning av alle vertsnavn. Nemlig skanningen av strategisk eldre domener som lokaliserer de med en betydelig mengde nye DGA-underdomener. De som potensielt kan angripe domener. Resultatene viste ca 161 genererte DGA-underdomener som bærer 43.19% av eksplodert trafikk.
Spesialister delte de skannede domenene inn i fire grupper: annen, ikke trygt for arbeid, mistenkelig og ondsinnet. Ondsinnet gruppe inkluderte phishing, gråvarer, kommandere og kontrollere, skadelig programvare og andre elementer oppdaget av VirusTotal-leverandører. Mistenkelig gruppe samlet høy risiko, utilstrekkelig innhold, tvilsomme og parkerte domener. Gambling, voksen, nakenhet og lignende gikk til ikke trygt for arbeidsgruppen. Resten som ikke kunne identifiseres på noen måte ble kalt den andre gruppen. Ser fra et prosentvis perspektiv 3.8% av strategisk aldrende domener viste ondsinnet atferd. Det er høyere enn for NRD-er, som er 1.27%.