साइबर अपराधी डोमेन मालिकों या उपयोगकर्ताओं पर सीधे हमला करने के लिए डोमेन नाम से छेड़छाड़ करते हैं, या फ़िशिंग, मैलवेयर वितरण और कमांड-एंड-कंट्रोल (C2) संचालन जैसे विभिन्न नापाक उपक्रमों के लिए उनका उपयोग करते हैं। डीएनएस अपहरण का एक विशेष मामला डोमेन शैडोइंग के रूप में जाना जाता है, जहां हमलावर गुप्त रूप से समझौता किए गए डोमेन नाम के तहत दुर्भावनापूर्ण उपडोमेन बनाते हैं।
शैडो डोमेन समझौता किए गए डोमेन के सामान्य संचालन को प्रभावित नहीं करते हैं, जिससे पीड़ितों द्वारा उनका पता लगाना मुश्किल हो जाता है। इस उपडोमेन की अस्पष्टता अक्सर अपराधियों को लंबे समय तक समझौता किए गए डोमेन की अच्छी प्रतिष्ठा का फायदा उठाने में सक्षम बनाती है।
साइबर हमलों के लिए लोकप्रिय आक्रमण पथ
वर्तमान खतरा-अनुसंधान-आधारित खोज दृष्टिकोण श्रम-गहन और धीमा है, इससे पहले कि वे संबंधित डोमेन के लिए अलग-अलग डेटासेट देख सकें, छायादार डोमेन का उपयोग करके दुर्भावनापूर्ण अभियानों का पता लगाने पर निर्भर हैं। इन समस्याओं को हल करने के लिए, पालो ऑल्टो नेटवर्क्स ने छायांकित डोमेन को तेजी से और पहले अज्ञात अभियानों के लिए बड़े पैमाने पर खोजने के लिए एक स्वचालित पाइपलाइन को डिजाइन और कार्यान्वित किया।
संभावित शैडोइंग डोमेन के बारे में सुविधाओं को निकालने के लिए सिस्टम प्रतिदिन निष्क्रिय डीएनएस लॉग के टेराबाइट्स को संसाधित करता है। इन विशेषताओं के आधार पर, यह शाडो डोमेन नामों की पहचान करने के लिए एक उच्च-परिशुद्धता मशीन लर्निंग मॉडल का उपयोग करता है। मॉडल दर्जनों समझौता किए गए डोमेन नामों के बीच प्रतिदिन सैकड़ों शैडो डोमेन बनाता है।
छायांकित डोमेन खोजें
छाया वाले डोमेन का पता लगाना कितना मुश्किल है, यह समझाने के लिए, पालो ऑल्टो नेटवर्क्स के शोधकर्ताओं ने पाया कि 12.197 छाया वाले डोमेन में से उन्होंने 25 अप्रैल और 27 जून, 2022 के बीच स्वचालित रूप से पता लगाया, केवल 200 डोमेन को वायरसटोटल पर विक्रेताओं द्वारा दुर्भावनापूर्ण के रूप में फ़्लैग किया गया। एक उदाहरण के रूप में, 649 समझौता किए गए डोमेन के तहत 16 गुप्त उप डोमेन का उपयोग करते हुए एक फ़िशिंग अभियान की एक विस्तृत रिपोर्ट, जैसे कि bancobpmmavfhxcc.barwonbluff.com[.]au और Carriernhoousvz.brisbanegateway[.]com। अपराधियों ने इस डोमेन की अच्छी प्रतिष्ठा का फायदा उठाकर नकली लॉगिन पेज वितरित किए और लॉगिन क्रेडेंशियल एकत्र किए। इस विशेष अभियान पर VT प्रदाता का प्रदर्शन उल्लेखनीय रूप से बेहतर है: 151 शैडो डोमेन में से 649 को खतरनाक के रूप में वर्गीकृत किया गया था, लेकिन फिर भी सभी डोमेन के एक चौथाई से भी कम।
डोमेन शैडोइंग कैसे काम करता है
साइबर अपराधी विभिन्न अवैध उद्देश्यों के लिए डोमेन नाम का उपयोग करते हैं, जिसमें C2 सर्वर से संचार करना, मैलवेयर फैलाना, धोखाधड़ी और फ़िशिंग शामिल हैं। इन गतिविधियों का समर्थन करने के लिए, स्कैमर या तो डोमेन नाम (दुर्भावनापूर्ण पंजीकरण) खरीद सकते हैं या मौजूदा डोमेन नाम (डीएनएस अपहरण/समझौता) से समझौता कर सकते हैं। जिन तरीकों से अपराधी एक डोमेन नाम से समझौता कर सकते हैं, उनमें रजिस्ट्रार या डीएनएस सेवा प्रदाता के साथ डोमेन के मालिक की साख को चुराना, रजिस्ट्रार या डीएनएस सेवा प्रदाता से समझौता करना, स्वयं डीएनएस सर्वर से समझौता करना, या डैंगलिंग-डोमेन का दुरुपयोग करना शामिल है।
डोमेन शैडोइंग डीएनएस हाइजैकिंग की एक उपश्रेणी है जिसमें हमलावर किसी का ध्यान नहीं जाने की कोशिश करते हैं। सबसे पहले, साइबर अपराधी समझौता किए गए डोमेन नाम के तहत गुप्त रूप से सबडोमेन डालते हैं। दूसरा, वे समझौता किए गए डोमेन का उपयोग करके वेबसाइटों, ईमेल सर्वर और अन्य सेवाओं जैसी सेवाओं के सामान्य संचालन की अनुमति देने के लिए मौजूदा रिकॉर्ड रखते हैं। मौजूदा सेवाओं के निर्बाध संचालन को सुनिश्चित करके, अपराधी डोमेन मालिकों के लिए समझौता को अदृश्य बना देते हैं और दुर्भावनापूर्ण प्रविष्टियों की सफाई की संभावना नहीं है। नतीजतन, डोमेन शैडोइंग हमलावरों को वस्तुतः असीमित उपडोमेन तक पहुंच प्रदान करता है जो समझौता किए गए डोमेन की प्रतिष्ठा पर कब्जा कर लेता है।
हमलावर मौजूदा डोमेन नामों के डीएनएस रिकॉर्ड बदल देते हैं
जब हमलावर मौजूदा डोमेन नामों के डीएनएस रिकॉर्ड बदलते हैं, तो वे उन डोमेन नामों के मालिकों या उपयोगकर्ताओं को लक्षित करते हैं। हालांकि, सामान्य फ़िशिंग अभियानों या बॉटनेट संचालन जैसे प्रयासों का समर्थन करने के लिए अपराधी अक्सर अपने बुनियादी ढांचे के हिस्से के रूप में शैडो डोमेन का उपयोग करते हैं। फ़िशिंग के मामले में, अपराधी फ़िशिंग ईमेल में प्रारंभिक डोमेन के रूप में शैडो डोमेन का उपयोग कर सकते हैं, दुर्भावनापूर्ण रीडायरेक्ट में मध्यवर्ती नोड के रूप में (उदाहरण के लिए दुर्भावनापूर्ण ट्रैफ़िक वितरण प्रणाली में), या फ़िशिंग वेबसाइट को होस्ट करने वाले लैंडिंग पृष्ठ के रूप में उपयोग कर सकते हैं। उदाहरण के लिए, बॉटनेट ऑपरेशंस में, C2 संचार को अस्पष्ट करने के लिए एक शैडो डोमेन को प्रॉक्सी डोमेन के रूप में उपयोग किया जा सकता है।
डोमेन शैडोइंग को कैसे पहचानें?
शैडो डोमेन डिटेक्शन के लिए थ्रेट-हंटिंग-आधारित दृष्टिकोण में निम्न समस्याएं हैं: बी कवरेज की कमी, पता लगाने में देरी और मानव श्रम की आवश्यकता। इसीलिए Palo Alto Networks ने एक पहचान पाइपलाइन विकसित की है जो निष्क्रिय DNS ट्रैफ़िक प्रोटोकॉल (pDNS) का लाभ उठाती है। इन सुविधाओं का उपयोग मशीन लर्निंग क्लासिफायरियर को प्रशिक्षित करने के लिए किया गया था, जो डिटेक्शन पाइपलाइन का मूल रूप है।
मशीन लर्निंग क्लासिफायरियर के लिए डिजाइन दृष्टिकोण
विशेषताएं तीन समूहों में आती हैं: जो संभावित छाया डोमेन से संबंधित हैं, जो संभावित छाया डोमेन के मूल डोमेन से संबंधित हैं, और जो संभावित छाया डोमेन के आईपी पते से संबंधित हैं।
पहला समूह शैडो डोमेन के लिए ही विशिष्ट है। FQDN स्तर पर इन विशेषताओं के उदाहरण हैं:
- रूट डोमेन (और उसके देश/स्वायत्त प्रणाली) के आईपी पते से आईपी पता विचलन।
- रूट डोमेन की पहली विज़िट की तारीख की तुलना में पहली विज़िट की तारीख में अंतर।
- उपडोमेन लोकप्रिय है या नहीं।
विशेषताओं का दूसरा सेट छाया डोमेन उम्मीदवार के रूट डोमेन का वर्णन करता है। इसके उदाहरण हैं:
- रूट डोमेन के सभी सबडोमेन के लिए लोकप्रिय का अनुपात।
- उप डोमेन का औसत IP ऑफ़सेट.
- उप डोमेन के सक्रिय रहने के दिनों की औसत संख्या।
विशेषताओं का तीसरा सेट छाया डोमेन उम्मीदवार आईपी पते से संबंधित है, उदाहरण के लिए:
- IP पर एपेक्स डोमेन का FQDN से अनुपात।
- इस आईपी का उपयोग करने वाले उप डोमेन का औसत आईपी देश ऑफ़सेट।
निष्कर्ष
साइबर अपराधी फ़िशिंग और बॉटनेट संचालन सहित विभिन्न अवैध गतिविधियों के लिए शैडो डोमेन का उपयोग करते हैं। शैडो डोमेन का पता लगाना मुश्किल है क्योंकि VirusTotal के प्रदाता इनमें से दो प्रतिशत से भी कम डोमेन कवर करते हैं। चूंकि पारंपरिक खतरा अनुसंधान-आधारित दृष्टिकोण बहुत धीमा है और अधिकांश छाया डोमेन का पता लगाने में विफल रहता है, पीडीएनएस डेटा पर आधारित एक स्वचालित पहचान प्रणाली की सिफारिश की जाती है। मशीन लर्निंग पर आधारित एक उच्च-परिशुद्धता डिटेक्टर डीएनएस लॉग की टेराबाइट्स को संसाधित करता है और हर दिन सैकड़ों छायांकित डोमेन की खोज करता है।
PaloAltoNetworks.com पर अधिक
पालो अल्टो नेटवर्क के बारे में पालो अल्टो नेटवर्क्स, साइबर सुरक्षा समाधानों में वैश्विक अग्रणी, क्लाउड-आधारित भविष्य को उन तकनीकों के साथ आकार दे रहा है जो लोगों और व्यवसायों के काम करने के तरीके को बदल देती हैं। हमारा मिशन पसंदीदा साइबर सुरक्षा भागीदार बनना और हमारे डिजिटल जीवन के तरीके की रक्षा करना है। हम आर्टिफिशियल इंटेलिजेंस, एनालिटिक्स, ऑटोमेशन और ऑर्केस्ट्रेशन में नवीनतम सफलताओं का लाभ उठाते हुए निरंतर नवाचार के साथ दुनिया की सबसे बड़ी सुरक्षा चुनौतियों का समाधान करने में आपकी सहायता करते हैं। एक एकीकृत मंच प्रदान करके और भागीदारों के बढ़ते पारिस्थितिकी तंत्र को सशक्त बनाकर, हम क्लाउड, नेटवर्क और मोबाइल उपकरणों में हजारों व्यवसायों की सुरक्षा करने में अग्रणी हैं। हमारा विजन एक ऐसी दुनिया है जहां हर दिन पहले से ज्यादा सुरक्षित है।
विषय से संबंधित लेख
- चेकलिस्ट
- समायोजित बटन पता और कैप्शन
- श्रेणी चयनित - भागीदारों के लिए और भागीदार कंपनी का नाम 2 के रूप में।
- इमेज बिल्ट-इन या B2B स्टैंडर्ड थंब
- विवरण और वैकल्पिक पाठ के रूप में नई छवि के लिए शीर्षक
- कीवर्ड - कंपनी के नाम से शुरू होने वाले पाठ से 4 से 6 तक (सोफोस, आईटी सुरक्षा, हमला ....)
- विज्ञापन सेटिंग: भागीदारों के लिए केवल दोनों बॉक्स पर टिक करें -> फिर बंद है
- Yoast SEO बॉक्स में अगला
- मेटा विवरण में हेडर को साफ और छोटा करें
- फ़ोकस कीफ़्रेज़ सेट करें - शीर्षक और परिचयात्मक पाठ में शामिल होना चाहिए
- अनफोल्ड प्रीमियम एसईओ विश्लेषण कि क्या संतरे की अच्छाई को आसानी से हरे रंग में लाया जा सकता है