Ο αριθμός των κακόβουλων αδρανών domain αυξάνεται και όπως προειδοποιούν οι ερευνητές, περίπου το 22,3% των dοmain που είναι αρκετά παλιά, ενέχουν κάποια μορφή κινδύνου.
Δείτε επίσης: iCloud+: Το custom email domain feature διαθέσιμo σε beta (πώς να το χρησιμοποιήσετε)
Όπως αποκαλύφθηκε, οι κακόβουλοι παράγοντες που επιτέθηκαν στη SolarWinds βασίστηκαν σε domain που είχαν καταχωριθεί χρόνια πριν ξεκινήσουν οι κακόβουλες δραστηριότητές τους.
Με βάση αυτό, έχουν επιταχυνθεί οι προσπάθειες για τον εντοπισμό παλιών domain, προτού τους δοθεί η ευκαιρία να εξαπολύσουν επιθέσεις και να υποστηρίξουν κακόβουλες δραστηριότητες.
Μια αναφορά από το Palo Alto Networks’ Unit42 αποκαλύπτει τα ευρήματα των ερευνητών του, αφού εξέτασαν δεκάδες χιλιάδες dοmain καθημερινά όλο τον Σεπτέμβριο του 2021.
Κατέληξαν στο συμπέρασμα ότι περίπου το 3,8% είναι άμεσα κακόβουλο, το 19% είναι ύποπτο και το 2% είναι μη ασφαλή για περιβάλλοντα εργασίας.
Ο στόχος πίσω από την καταχώριση ενός domain πολύ πριν τον χρησιμοποιήσουν οι κακόβουλοι παράγοντες, είναι να δημιουργηθεί ένα “καθαρό αρχείο” που θα αποτρέψει τα συστήματα ανίχνευσης ασφαλείας να υπονομεύσουν την επιτυχία κακόβουλων εκστρατειών.
Συνήθως, τα domain που καταχωρήθηκαν πρόσφατα είναι πιο πιθανό να είναι κακόβουλα, επομένως οι λύσεις ασφαλείας τα αντιμετωπίζουν ως ύποπτα και έχουν περισσότερες πιθανότητες να τα επισημάνουν.
Δείτε ακόμα: LockBit ransomware: Κρυπτογραφεί Windows domains χρησιμοποιώντας group policies
Ωστόσο, η Unit42 εξηγεί στην έκθεσή της ότι τα πιο παλιά domain είναι τρεις φορές πιο πιθανό να είναι κακόβουλα από τα νεότερα.
Σε ορισμένες περιπτώσεις, παρέμειναν αδρανή για δύο χρόνια προτού η επισκεψιμότητα DNS αυξηθεί ξαφνικά κατά 165 φορές, υποδηλώνοντας την έναρξη μιας επίθεσης.
Ένα προφανές σημάδι ενός κακόβουλου dοmain είναι η ξαφνική αύξηση στην επισκεψιμότητά του. Οι νόμιμες υπηρεσίες που κατοχύρωσαν τα domain τους και ξεκίνησαν τις υπηρεσίες τους μήνες ή χρόνια αργότερα, παρουσιάζουν σταδιακή αύξηση της επισκεψιμότητας.
Τα domain που δεν προορίζονταν για νόμιμη χρήση έχουν γενικά ατελές, κλωνοποιημένο ή γενικά αμφισβητούμενο περιεχόμενο.
Ένα άλλο σαφές σημάδι ενός παλιού domain που προορίζεται να χρησιμοποιηθεί σε κακόβουλες καμπάνιες είναι η δημιουργία subdomain DGA.
Ο DGA (αλγόριθμος δημιουργίας dοmain), είναι μια καθιερωμένη μέθοδος δημιουργίας μοναδικών ονομάτων domain και διευθύνσεων IP, που λειτουργούν ως νέα σημεία επικοινωνίας C2. Ο στόχος είναι να αποφευχθεί ο εντοπισμός και οι λίστες αποκλεισμού.
Εξετάζοντας μόνο το στοιχείο DGA, οι ανιχνευτές του Palo Alto εντόπισαν δύο ύποπτα domain κάθε μέρα, που δημιουργούσαν εκατοντάδες χιλιάδες subdomain την ημέρα της ενεργοποίησής τους.
Δείτε επίσης: ΗΠΑ: Κατασχέθηκαν domains που χρησιμοποίησε η APT29 σε πρόσφατη phishing εκστρατεία
Στις περισσότερες περιπτώσεις, τα παλιά domain χρησιμοποιούνται από εξελιγμένους hackers που λειτουργούν σε πιο οργανωμένο πλαίσιο και έχουν μακροπρόθεσμα σχέδια.
Χρησιμοποιούνται για την κατάχρηση του DGA για τη διείσδυση δεδομένων μέσω της κυκλοφορίας DNS, τη λειτουργία των επιπέδων διακομιστή μεσολάβησης ή τη μίμηση των domain γνωστών εμπορικών σημάτων (cybersquatting).
Αν και ο εντοπισμός της δραστηριότητας DGA εξακολουθεί να είναι δύσκολος, οι ερευνητές ασφαλείας μπορούν να επιτύχουν πολλά παρακολουθώντας δεδομένα DNS όπως ερωτήματα, απαντήσεις και διευθύνσεις IP και εστιάζοντας στον εντοπισμό μοτίβων.
