Se você bater nas portas de domínios estrategicamente envelhecidos

Rede Palo Alto, uma empresa americana de cibersegurança, não perde tempo nem mesmo em feriados e dois dias antes do Ano Novo publicou sua pesquisa bastante informativa sobre domínios estrategicamente antigos e as ameaças que eles representam. De acordo com a postagem, tais domínios apresentam risco ainda maior do que os domínios recém-registrados (NRDs). Em comparação com os dados recebidos na pesquisa, domínios latentes maliciosos com tráfego limitado por meses a anos, de repente, podem ganhar mais do que 10.3 vezes o tráfego aumenta em um dia. É três vezes maior do que nos domínios registrados recentemente.

Por pouco 30,000 domínios revelaram-se maliciosos

Com a ajuda de um detector baseado em nuvem especialistas observed domains’ activities and could pinpoint these strategically aged domains. Eles receberam quase 30,000 domínios todos os dias usando dados passivos do sistema de nome de domínio (Um mecanismo para armazenar o Sistema de Nome de Domínio que posteriormente ajuda a identificar infraestruturas maliciosas). como um resultado 22.27% deles acabou por não ser seguro para o trabalho, suspeito ou malicioso.

Ao conduzir suas pesquisas, os especialistas usaram as informações disponíveis sobre o ataque à cadeia de suprimentos da SolarWinds (SUNBURST trojan) caso. Eles investigaram a campanha maliciosa para descobrir qualquer uma de suas características que poderiam ajudar a detectar ameaças persistentes avançadas comuns (APTs). No curso da investigação, os especialistas descobriram um fato interessante que o comando e controle (C2) atores de ameaças de domínio registrados há alguns anos antes de lançar um trabalho vigoroso de penetração no domínio.

Domínios estrategicamente antigos oferecem vantagem no tempo

Os especialistas de Palo Alto dizem que esse tipo de comportamento é típico de ataques APT quando os agentes de ameaça Trojans stay inactive long in victims’ networks before the operators decide to launch an actual attack. além do que, além do mais, atores de ameaças registram múltiplos domínios. É quando um deles é bloqueado, eles podem reiniciar rapidamente operações maliciosas com outro. Não apenas ataques de ATP podem ser realizados com sucesso em domínios estrategicamente antigos, mas também otimização de mecanismo de pesquisa de chapéu preto (SEO), phishing e comando e controle. A razão para a implantação de domínios estrategicamente antigos pode ser explicada no trabalho do mecanismo de reputação. Demora mais para detectá-los porque tais domínios já podem desenvolver alguma reputação amigável ao longo do tempo quando de repente começam uma atividade maliciosa.

Durante o mencionado ataque à cadeia de suprimentos da SolarWinds, os atores da ameaça fizeram o trojan exercitar algoritmos de geração de domínio (DGA). Dessa forma, eles exfiltraram as identidades das máquinas alvo com subdomínios. Para detectar ataques APT semelhantes, os especialistas executam uma verificação de todos os nomes de host. Ou seja, a varredura de domínios estrategicamente antigos identificando aqueles com uma quantidade significativa de subdomínios DGA emergentes. Aqueles que podem estar potencialmente atacando domínios. Os resultados mostraram sobre 161 gerou subdomínios DGA carregando 43.19% de tráfego estourado.

Os especialistas dividiram os domínios verificados em quatro grupos: de outros, não é seguro para o trabalho, suspeito e malicioso. Grupo malicioso incluiu phishing, grayware, Comando e controle, malware e outros elementos detectados pelos fornecedores do VirusTotal. Grupo suspeito coletado junto de alto risco, conteúdo insuficiente, domínios questionáveis ​​e reservados. Jogos de azar, adulto, nudez e coisas semelhantes foram para o grupo de trabalho não seguro. O resto que não pôde ser identificado de qualquer forma foi nomeado o outro grupo. Olhando de uma perspectiva percentual 3.8% de domínios estrategicamente antigos exibiram comportamentos maliciosos. É maior do que o dos NRDs, qual é 1.27%.