Sombra de dominio: Compromiso de DNS para delitos cibernéticos

2. Diciembre 2022
| No hay comentarios
Sombra de dominio: Compromiso de DNS para delitos cibernéticos

Compartir publicación

Los ciberdelincuentes comprometen los nombres de dominio para atacar a los propietarios o usuarios de dominio directamente, o los utilizan para diversas empresas nefastas, como el phishing, la distribución de malware y las operaciones de comando y control (C2). Un caso especial de secuestro de DNS se conoce como sombra de dominio, donde los atacantes crean en secreto subdominios maliciosos bajo nombres de dominio comprometidos. 

Los dominios en la sombra no afectan el funcionamiento normal de los dominios comprometidos, lo que dificulta que las víctimas los detecten. La discreción de este subdominio a menudo permite a los perpetradores explotar la buena reputación del dominio comprometido durante un largo período de tiempo.

Ruta de ataque popular para ataques cibernéticos

Los enfoques actuales de detección basados ​​en la investigación de amenazas requieren mucho trabajo y son lentos, ya que se basan en la detección de campañas maliciosas que utilizan dominios ocultos antes de que puedan buscar en diferentes conjuntos de datos los dominios relacionados. Para resolver estos problemas, Palo Alto Networks diseñó e implementó una canalización automatizada para descubrir dominios ocultos más rápido y a escala para campañas previamente desconocidas.

El sistema procesa diariamente terabytes de registros DNS pasivos para extraer características sobre posibles dominios de sombra. En base a estas características, utiliza un modelo de aprendizaje automático de alta precisión para identificar los nombres de dominio de Schadow. El modelo encuentra cientos de dominios en la sombra creados diariamente entre docenas de nombres de dominio comprometidos.

Descubra dominios sombreados

Para ilustrar lo difícil que es detectar dominios ensombrecidos, los investigadores de Palo Alto Networks descubrieron que de los 12.197 25 dominios ensombrecidos que detectaron automáticamente entre el 27 de abril y el 2022 de junio de 200, solo 649 dominios fueron marcados como maliciosos por los proveedores en VirusTotal. Como ejemplo, un informe detallado de una campaña de phishing que utiliza 16 subdominios encubiertos en 151 dominios comprometidos, como bancobpmmavfhxcc.barwonbluff.com[.]au y carriernhousvz.brisbanegateway[.]com. Los autores se aprovecharon de la buena reputación de este dominio para distribuir páginas de inicio de sesión falsas y recopilar credenciales de inicio de sesión. El rendimiento del proveedor de VT es significativamente mejor en esta campaña en particular: 649 de los XNUMX dominios en la sombra se clasificaron como peligrosos, pero menos de una cuarta parte de todos los dominios.

Cómo funciona la sombra de dominio

Los ciberdelincuentes usan nombres de dominio para diversos fines ilegales, incluida la comunicación con servidores C2, la propagación de malware, el fraude y la suplantación de identidad. Para respaldar estas actividades, los estafadores pueden comprar nombres de dominio (registro malicioso) o comprometer nombres de dominio existentes (secuestro/compromiso de DNS). Las formas en que los delincuentes pueden comprometer un nombre de dominio incluyen robar las credenciales del propietario del dominio con el registrador o el proveedor de servicios DNS, comprometer al registrador o al proveedor de servicios DNS, comprometer el propio servidor DNS o abusar de los dominios colgantes.

La sombra de dominio es una subcategoría de secuestro de DNS en la que los atacantes intentan pasar desapercibidos. Primero, los ciberdelincuentes insertan en secreto subdominios bajo el nombre de dominio comprometido. En segundo lugar, conservan los registros existentes para permitir el funcionamiento normal de servicios como sitios web, servidores de correo electrónico y otros servicios que utilizan el dominio comprometido. Al garantizar el funcionamiento ininterrumpido de los servicios existentes, los delincuentes hacen que el compromiso sea invisible para los propietarios del dominio y que la limpieza de las entradas maliciosas sea poco probable. Como resultado, la sombra de dominio brinda a los atacantes acceso a subdominios virtualmente ilimitados que se apoderan de la reputación del dominio comprometido.

Los atacantes cambian los registros DNS de los nombres de dominio existentes

Cuando los atacantes cambian los registros DNS de los nombres de dominio existentes, se dirigen a los propietarios o usuarios de esos nombres de dominio. Sin embargo, los delincuentes a menudo usan dominios en la sombra como parte de su infraestructura para respaldar esfuerzos como campañas generales de phishing u operaciones de botnet. En el caso del phishing, los delincuentes pueden utilizar dominios en la sombra como dominio de inicio en un correo electrónico de phishing, como nodo intermedio en una redirección maliciosa (por ejemplo, en un sistema de distribución de tráfico malicioso) o como una página de destino que aloja el sitio web de phishing. Por ejemplo, en las operaciones de botnet, se puede usar un dominio en la sombra como un dominio proxy para ofuscar las comunicaciones C2.

¿Cómo reconocer el sombreado de dominio?

Los enfoques basados ​​en la búsqueda de amenazas para la detección de dominios en la sombra tienen problemas como: B. la falta de cobertura, la demora en la detección y la necesidad de mano de obra humana. Es por eso que Palo Alto Networks desarrolló una canalización de detección que aprovecha los protocolos de tráfico de DNS pasivo (pDNS). Estas características se usaron para entrenar un clasificador de aprendizaje automático, que forma el núcleo de la canalización de detección.

Enfoque de diseño para el clasificador de aprendizaje automático

Las características se dividen en tres grupos: las relacionadas con el propio dominio en la sombra potencial, las relacionadas con el dominio raíz del dominio en la sombra potencial y las relacionadas con las direcciones IP del dominio en la sombra potencial.

El primer grupo es específico del propio dominio oculto. Ejemplos de estas características a nivel de FQDN son:

  • Desviación de la dirección IP de la dirección IP del dominio raíz (y su país/sistema autónomo).
  • Diferencia en la fecha de la primera visita en comparación con la fecha de la primera visita al dominio raíz.
  • Si el subdominio es popular.

El segundo conjunto de características describe el dominio raíz del candidato a dominio en la sombra. Ejemplos de esto son:

  • La proporción de popular a todos los subdominios del dominio raíz.
  • El desplazamiento de IP promedio de los subdominios.
  • La cantidad promedio de días que los subdominios están activos.

El tercer conjunto de características se relaciona con las direcciones IP candidatas al dominio en la sombra, por ejemplo:

  • La proporción de dominio de vértice a FQDN en la IP.
  • El desplazamiento de país de IP promedio de los subdominios que usan esta IP.

conclusión

Los ciberdelincuentes usan dominios en la sombra para diversas actividades ilegales, incluidas operaciones de phishing y botnet. Es difícil detectar dominios ocultos porque los proveedores de VirusTotal cubren menos del dos por ciento de estos dominios. Dado que los enfoques tradicionales basados ​​en la investigación de amenazas son demasiado lentos y no detectan la mayoría de los dominios ocultos, se recomienda un sistema de detección automatizado basado en datos de pDNS. Un detector de alta precisión basado en el aprendizaje automático procesa terabytes de registros de DNS y descubre cientos de dominios sombreados todos los días.

Más en PaloAltoNetworks.com

 

Acerca de Palo Alto Networks

Palo Alto Networks, el líder mundial en soluciones de ciberseguridad, está dando forma al futuro basado en la nube con tecnologías que transforman la forma en que trabajan las personas y las empresas. Nuestra misión es ser el socio de ciberseguridad preferido y proteger nuestra forma de vida digital. Lo ayudamos a abordar los mayores desafíos de seguridad del mundo con innovación continua aprovechando los últimos avances en inteligencia artificial, análisis, automatización y orquestación. Al ofrecer una plataforma integrada y potenciar un ecosistema creciente de socios, somos líderes en la protección de decenas de miles de empresas en nubes, redes y dispositivos móviles. Nuestra visión es un mundo donde cada día sea más seguro que el anterior.

 

Artículos relacionados con el tema

Seguridad informática: NIS-2 la convierte en una máxima prioridad

Sólo en una cuarta parte de las empresas alemanas la dirección asume la responsabilidad de la seguridad informática. Especialmente en empresas más pequeñas ➡ Leer más

Los ciberataques aumentarán un 104 por ciento en 2023

Una empresa de ciberseguridad ha analizado el panorama de amenazas del año pasado. Los resultados proporcionan información crucial sobre ➡ Leer más

El software espía móvil representa una amenaza para las empresas

Cada vez más personas utilizan dispositivos móviles tanto en la vida cotidiana como en las empresas. Esto también reduce el riesgo de "descarga móvil". ➡ Leer más

La seguridad colaborativa identifica muchas vulnerabilidades

La seguridad colaborativa ha aumentado significativamente en el último año. En el sector público se reportaron un 151 por ciento más de vulnerabilidades que el año anterior. ➡ Leer más

Los ciberdelincuentes están aprendiendo

Los investigadores de seguridad han publicado el Informe de respuesta a incidentes de 2024, que presenta un panorama preocupante de crecientes amenazas cibernéticas. Los hallazgos se basan en ➡ Leer más

Seguridad digital: los consumidores son los que más confían en los bancos

Una encuesta sobre confianza digital mostró que los bancos, la atención médica y el gobierno son los sectores en los que más confían los consumidores. Los medios de comunicación- ➡ Leer más

Bolsa de trabajo en la Darknet: los piratas informáticos buscan información privilegiada renegada

La Darknet no es sólo un intercambio de bienes ilegales, sino también un lugar donde los hackers buscan nuevos cómplices. ➡ Leer más

Sistemas de energía solar: ¿qué tan seguros son?

Un estudio examinó la seguridad informática de los sistemas de energía solar. Los problemas incluyen falta de cifrado durante la transferencia de datos, contraseñas estándar y actualizaciones de firmware inseguras. tendencia ➡ Leer más

  • Lista de verificación
  • Dirección y título del botón ajustados
  • Categoría seleccionada: para socios más el nombre de la empresa asociada como 2.
  • Imagen integrada o pulgar estándar B2B
  • Título de la nueva imagen como descripción y texto alternativo
  • Palabras clave: de 4 a 6 del texto, empezando por el nombre de la empresa (Sophos, seguridad informática, ataque...)
  • Configuración de anuncios: solo marque ambas casillas para socios -> luego está desactivado
  • Siguiente en el cuadro Yoast SEO
  •  Limpiar y acortar el encabezado en la meta descripción.
  • Establezca la frase clave de enfoque: debe incluirse en el título y el texto introductorio
  • Desarrolle un análisis de SEO premium para ver si la bondad del naranja se puede convertir fácilmente en verde

 

 

Stories
, , , ,