Domain Shadowing - Compromis DNS pour la cybercriminalité

2 décembre 2022
| Pas de commentaires
Domain Shadowing - Compromis DNS pour la cybercriminalité

Partager le post

Les cybercriminels compromettent les noms de domaine afin d'attaquer directement les propriétaires ou les utilisateurs de domaine, ou les utilisent pour diverses entreprises néfastes telles que le phishing, la distribution de logiciels malveillants et les opérations de commande et de contrôle (C2). Un cas particulier de piratage DNS est connu sous le nom d'observation de domaine, où les attaquants créent secrètement des sous-domaines malveillants sous des noms de domaine compromis. 

Les domaines fantômes n'affectent pas le fonctionnement normal des domaines compromis, ce qui les rend difficiles à détecter par les victimes. La discrétion de ce sous-domaine permet souvent aux malfaiteurs d'exploiter la bonne réputation du domaine compromis sur une longue période.

Chemin d'attaque populaire pour les cyberattaques

Les approches actuelles de détection basées sur la recherche sur les menaces sont laborieuses et lentes, s'appuyant sur la détection de campagnes malveillantes utilisant des domaines cachés avant qu'elles ne puissent rechercher dans différents ensembles de données des domaines connexes. Pour résoudre ces problèmes, Palo Alto Networks a conçu et mis en œuvre un pipeline automatisé pour découvrir les domaines masqués plus rapidement et à grande échelle pour des campagnes jusque-là inconnues.

Le système traite quotidiennement des téraoctets de journaux DNS passifs pour extraire des fonctionnalités sur d'éventuels domaines d'observation. Sur la base de ces caractéristiques, il utilise un modèle d'apprentissage automatique de haute précision pour identifier les noms de domaine Schadow. Le modèle trouve des centaines de domaines fantômes créés quotidiennement parmi des dizaines de noms de domaine compromis.

Découvrir les domaines masqués

Pour illustrer à quel point il est difficile de détecter les domaines masqués, les chercheurs de Palo Alto Networks ont découvert que sur les 12.197 25 domaines masqués qu'ils ont automatiquement détectés entre le 27 avril et le 2022 juin 200, seuls 649 domaines ont été signalés comme malveillants par les fournisseurs sur VirusTotal. Par exemple, un rapport détaillé d'une campagne de phishing utilisant 16 sous-domaines secrets sous 151 domaines compromis tels que bancobpmmavfhxcc.barwonbluff.com[.]au et carriernhoousvz.brisbanegateway[.]com. Les malfaiteurs ont profité de la bonne réputation de ce domaine pour diffuser de fausses pages de connexion et collecter des identifiants de connexion. Les performances du fournisseur VT sont nettement meilleures sur cette campagne particulière : 649 des XNUMX domaines fantômes ont été classés comme dangereux, mais toujours moins d'un quart de tous les domaines.

Fonctionnement de l'observation de domaine

Les cybercriminels utilisent les noms de domaine à diverses fins illégales, notamment la communication avec les serveurs C2, la diffusion de logiciels malveillants, la fraude et le phishing. Pour soutenir ces activités, les escrocs peuvent soit acheter des noms de domaine (enregistrement malveillant), soit compromettre des noms de domaine existants (détournement/compromis DNS). Les moyens par lesquels les criminels peuvent compromettre un nom de domaine incluent le vol des informations d'identification du propriétaire du domaine auprès du bureau d'enregistrement ou du fournisseur de services DNS, la compromission du bureau d'enregistrement ou du fournisseur de services DNS, la compromission du serveur DNS lui-même ou l'abus de domaines suspendus.

L'observation de domaine est une sous-catégorie de piratage DNS dans laquelle les attaquants tentent de passer inaperçus. Premièrement, les cybercriminels insèrent secrètement des sous-domaines sous le nom de domaine compromis. Deuxièmement, ils conservent les enregistrements existants pour permettre le fonctionnement normal de services tels que les sites Web, les serveurs de messagerie et d'autres services utilisant le domaine compromis. En assurant le fonctionnement ininterrompu des services existants, les criminels rendent la compromission invisible pour les propriétaires de domaine et le nettoyage des entrées malveillantes peu probable. En conséquence, l'observation de domaine donne aux attaquants un accès à des sous-domaines pratiquement illimités qui prennent en charge la réputation du domaine compromis.

Les attaquants modifient les enregistrements DNS des noms de domaine existants

Lorsque les attaquants modifient les enregistrements DNS des noms de domaine existants, ils ciblent les propriétaires ou les utilisateurs de ces noms de domaine. Cependant, les criminels utilisent souvent des domaines fantômes dans le cadre de leur infrastructure pour soutenir des efforts tels que des campagnes de phishing générales ou des opérations de botnet. Dans le cas du phishing, les criminels peuvent utiliser des domaines fantômes comme domaine de départ dans un e-mail de phishing, comme nœud intermédiaire dans une redirection malveillante (par exemple dans un système de distribution de trafic malveillant), ou comme page de destination hébergeant le site Web de phishing. Par exemple, dans les opérations de botnet, un domaine miroir peut être utilisé comme domaine proxy pour masquer les communications C2.

Comment reconnaître l'occultation de domaine ?

Les approches basées sur la chasse aux menaces pour la détection de domaine fantôme présentent des problèmes tels que : B. le manque de couverture, le retard de détection et le besoin de main-d'œuvre humaine. C'est pourquoi Palo Alto Networks a développé un pipeline de détection qui exploite les protocoles de trafic DNS passifs (pDNS). Ces fonctionnalités ont été utilisées pour former un classificateur d'apprentissage automatique, qui constitue le cœur du pipeline de détection.

Approche de conception pour le classificateur d'apprentissage automatique

Les caractéristiques se divisent en trois groupes : celles liées au domaine miroir potentiel lui-même, celles liées au domaine racine du domaine miroir potentiel et celles liées aux adresses IP du domaine miroir potentiel.

Le premier groupe est spécifique au domaine miroir lui-même. Des exemples de ces caractéristiques au niveau FQDN sont :

  • Déviation de l'adresse IP par rapport à l'adresse IP du domaine racine (et son pays/système autonome).
  • Différence de date de première visite par rapport à la date de première visite sur le domaine racine.
  • Si le sous-domaine est populaire.

Le deuxième ensemble de caractéristiques décrit le domaine racine du candidat du domaine miroir. Voici des exemples :

  • Le rapport entre populaire et tous les sous-domaines du domaine racine.
  • Le décalage IP moyen des sous-domaines.
  • Le nombre moyen de jours pendant lesquels les sous-domaines sont actifs.

Le troisième ensemble de caractéristiques concerne les adresses IP candidates du domaine miroir, par exemple :

  • Le rapport entre le domaine apex et le FQDN sur l'IP.
  • Le décalage de pays IP moyen des sous-domaines utilisant cette adresse IP.

conclusion

Les cybercriminels utilisent des domaines fantômes pour diverses activités illégales, notamment des opérations de phishing et de botnet. Il est difficile de repérer les domaines fantômes car les fournisseurs de VirusTotal couvrent moins de XNUMX % de ces domaines. Étant donné que les approches traditionnelles basées sur la recherche sur les menaces sont trop lentes et ne parviennent pas à détecter la majorité des domaines fantômes, un système de détection automatisé basé sur les données pDNS est recommandé. Un détecteur de haute précision basé sur l'apprentissage automatique traite des téraoctets de journaux DNS et découvre des centaines de domaines cachés chaque jour.

Plus sur PaloAltoNetworks.com

 

À propos des réseaux de Palo Alto

Palo Alto Networks, le leader mondial des solutions de cybersécurité, façonne l'avenir basé sur le cloud avec des technologies qui transforment la façon dont les gens et les entreprises travaillent. Notre mission est d'être le partenaire privilégié en matière de cybersécurité et de protéger notre mode de vie numérique. Nous vous aidons à relever les plus grands défis de sécurité au monde grâce à une innovation continue tirant parti des dernières avancées en matière d'intelligence artificielle, d'analyse, d'automatisation et d'orchestration. En fournissant une plate-forme intégrée et en renforçant un écosystème croissant de partenaires, nous sommes les leaders dans la protection de dizaines de milliers d'entreprises sur les clouds, les réseaux et les appareils mobiles. Notre vision est un monde où chaque jour est plus sûr que le précédent.

 

Articles liés au sujet

Sécurité informatique : NIS-2 en fait une priorité absolue

Ce n'est que dans un quart des entreprises allemandes que la direction assume la responsabilité de la sécurité informatique. Surtout dans les petites entreprises ➡ En savoir plus

Les cyberattaques augmentent de 104 % en 2023

Une entreprise de cybersécurité a examiné le paysage des menaces de l'année dernière. Les résultats fournissent des informations cruciales sur ➡ En savoir plus

Les logiciels espions mobiles constituent une menace pour les entreprises

De plus en plus de personnes utilisent des appareils mobiles, aussi bien dans la vie quotidienne que dans les entreprises. Cela réduit également le risque de « ➡ En savoir plus

La sécurité participative identifie de nombreuses vulnérabilités

La sécurité participative a considérablement augmenté au cours de la dernière année. Dans le secteur public, 151 pour cent de vulnérabilités supplémentaires ont été signalées par rapport à l’année précédente. ➡ En savoir plus

Les cybercriminels apprennent

Les chercheurs en sécurité ont publié le rapport 2024 sur la réponse aux incidents, qui dresse un tableau inquiétant de l’augmentation des cybermenaces. Les résultats sont basés sur ➡ En savoir plus

Sécurité numérique : les consommateurs font le plus confiance aux banques

Une enquête sur la confiance numérique a montré que les consommateurs font le plus confiance aux banques, aux soins de santé et au gouvernement. Les média- ➡ En savoir plus

Bourse d'emploi Darknet : les pirates informatiques recherchent des initiés renégats

Le Darknet n'est pas seulement un échange de biens illégaux, mais aussi un lieu où les hackers recherchent de nouveaux complices ➡ En savoir plus

Systèmes d’énergie solaire – dans quelle mesure sont-ils sûrs ?

Une étude a examiné la sécurité informatique des systèmes d'énergie solaire. Les problèmes incluent un manque de cryptage lors du transfert de données, des mots de passe standard et des mises à jour de micrologiciels non sécurisées. s'orienter ➡ En savoir plus

  • Aide-mémoire
  • Adresse et légende du bouton ajustées
  • Catégorie sélectionnée - pour les partenaires plus le nom de l'entreprise partenaire comme 2.
  • Image intégrée ou pouce standard B2B
  • Titre de la nouvelle image en tant que description et texte alternatif
  • Mots-clés - 4 à 6 du texte, en commençant par le nom de l'entreprise (Sophos, sécurité informatique, attaque....)
  • Paramètres des annonces : cochez uniquement les deux cases pour les partenaires -> est alors désactivé
  • Suivant dans la boîte Yoast SEO
  •  Nettoyer et raccourcir l'en-tête dans la méta description
  • Définissez la phrase clé de mise au point - doit être incluse dans le titre et le texte d'introduction
  • Déplier l'analyse SEO premium pour savoir si les bienfaits de l'orange peuvent facilement être transformés en vert

 

 

Stories
, , , ,