Hvis du banker på dørene til Strategically Aged Domains

Palo Alto nettverk, et amerikansk cybersikkerhetsselskap, kaster ikke bort tid selv på helligdager og to dager før nyttår publiserte sin ganske informative forskning om strategisk aldrede domener og hvilke trusler de utgjør. I følge innlegget har slike domener en enda større risiko enn de nylig registrerte domenene (NRD-er). Sammenlignet med data mottatt i forskningen, ondsinnede sovende domener som har begrenset trafikk i måneder til år plutselig kan få mer enn 10.3 ganger trafikken øke i løpet av en dag. Det er tre ganger høyere enn i de nylig registrerte domenene.

Nesten 30,000 domener viste seg å være skadelige

Ved hjelp av en skybasert detektor spesialister observerte domener’ aktiviteter og kunne identifisere disse strategisk aldrende domenene. De fikk nesten 30,000 domener hver dag ved hjelp av passive domenenavnsystemdata (En mekanisme for lagring av Domain Name System som etterpå hjelper til med å identifisere skadelig infrastruktur). Som et resultat 22.27% av dem viste seg å være usikre for arbeid, mistenkelig eller ondsinnet.

Ved å utføre sine undersøkelser brukte spesialistene informasjon tilgjengelig om SolarWinds forsyningskjedeangrep (SUNBURST trojaner) sak. De undersøkte den ondsinnede kampanjen for å avdekke noen av dens egenskaper som deretter kunne hjelpe til med å oppdage vanlige avanserte vedvarende trusler (APT-er). I løpet av etterforskningen kom spesialister over et interessant faktum som kommando og kontroll (C2) aktører i domenetrusselen registrerte seg for noen år siden før de startet kraftig penetrasjonsarbeid på domenet.

Strategisk eldre domener gir fordel i tid

Palo Altos spesialister sier at slik oppførsel er typisk for APT-angrep når trusselaktører trojanere forbli inaktiv lenge hos ofre’ nettverk før operatørene bestemmer seg for å sette i gang et faktisk angrep. I tillegg, trusselaktører registrerer flere domener. Det er når en av dem blir blokkert, kan de raskt starte ondsinnede operasjoner på nytt med en annen. Ikke bare ATP-angrep kan gjennomføres på strategisk aldrende domener, men også black hat søkemotoroptimalisering (SEO), phishing og kommando og kontroll. Årsaken til utplasseringen av de strategisk aldrede domenene kan forklares i arbeidet med omdømmemekanismen. Det tar lengre tid å oppdage dem fordi slike domener allerede kan utvikle et vennlig rykte over tid når de plutselig starter ondsinnet aktivitet.

Hvis du banker på dørene til Strategically Aged Domains
Ondsinnede strategisk aldrende domener ser vanligvis slik ut

Under den nevnte SolarWinds forsyningskjeden angrep trussel aktører laget trojanske treningsdomene genereringsalgoritmer (DGA). På en slik måte eksfiltrerte de identitetene til målmaskiner med underdomener. For å oppdage lignende APT-angrep kjører spesialister en skanning av alle vertsnavn. Nemlig skanningen av strategisk eldre domener som lokaliserer de med en betydelig mengde nye DGA-underdomener. De som potensielt kan angripe domener. Resultatene viste ca 161 genererte DGA-underdomener som bærer 43.19% av eksplodert trafikk.

Spesialister delte de skannede domenene inn i fire grupper: annen, ikke trygt for arbeid, mistenkelig og ondsinnet. Ondsinnet gruppe inkluderte phishing, gråvarer, kommandere og kontrollere, skadelig programvare og andre elementer oppdaget av VirusTotal-leverandører. Mistenkelig gruppe samlet høy risiko, utilstrekkelig innhold, tvilsomme og parkerte domener. Gambling, voksen, nakenhet og lignende gikk til ikke trygt for arbeidsgruppen. Resten som ikke kunne identifiseres på noen måte ble kalt den andre gruppen. Ser fra et prosentvis perspektiv 3.8% av strategisk aldrende domener viste ondsinnet atferd. Det er høyere enn for NRD-er, som er 1.27%.

Andrew Nail

Cybersikkerhetsjournalist fra Montreal, Canada. Studerte kommunikasjonsvitenskap ved Universite de Montreal. Jeg var ikke sikker på om en journalistjobb er det jeg vil gjøre i livet mitt, men i forbindelse med tekniske vitenskaper, det er akkurat det jeg liker å gjøre. Min jobb er å fange opp de nyeste trendene i cybersikkerhetsverdenen og hjelpe folk til å håndtere skadelig programvare de har på PC-ene sine.

Legg igjen et svar

Tilbake til toppen-knappen