Shadowing del dominio: compromesso DNS per il crimine informatico

2. Dicembre 2022
| Non ci sono commenti
Shadowing del dominio: compromesso DNS per il crimine informatico

Condividi post

I criminali informatici compromettono i nomi di dominio per attaccare direttamente i proprietari o gli utenti del dominio o li utilizzano per varie attività nefaste come phishing, distribuzione di malware e operazioni di comando e controllo (C2). Un caso speciale di dirottamento DNS è noto come shadowing del dominio, in cui gli aggressori creano segretamente sottodomini dannosi sotto nomi di dominio compromessi. 

I domini ombra non influiscono sul normale funzionamento dei domini compromessi, rendendoli difficili da rilevare dalle vittime. La scarsa visibilità di questo sottodominio consente spesso agli autori di sfruttare la buona reputazione del dominio compromesso per un lungo periodo di tempo.

Percorso di attacco popolare per gli attacchi informatici

Gli attuali approcci di rilevamento basati sulla ricerca delle minacce sono lenti e laboriosi e si basano sul rilevamento di campagne dannose che utilizzano domini ombreggiati prima che possano esaminare diversi set di dati per i domini correlati. Per risolvere questi problemi, Palo Alto Networks ha progettato e implementato una pipeline automatizzata per scoprire domini ombreggiati più velocemente e su larga scala per campagne precedentemente sconosciute.

Il sistema elabora giornalmente terabyte di registri DNS passivi per estrarre funzionalità su possibili domini di shadowing. Sulla base di queste caratteristiche, utilizza un modello di apprendimento automatico ad alta precisione per identificare i nomi di dominio Schadow. Il modello trova centinaia di domini ombra creati quotidianamente tra dozzine di nomi di dominio compromessi.

Scopri i domini ombreggiati

Per illustrare quanto sia difficile rilevare i domini in ombra, i ricercatori di Palo Alto Networks hanno scoperto che dei 12.197 domini in ombra rilevati automaticamente tra il 25 aprile e il 27 giugno 2022, solo 200 domini sono stati contrassegnati come dannosi dai fornitori su VirusTotal. Ad esempio, un rapporto dettagliato di una campagna di phishing che utilizza 649 sottodomini nascosti sotto 16 domini compromessi come bancobpmmavfhxcc.barwonbluff.com[.]au e carriernhoousvz.brisbanegateway[.]com. Gli autori hanno approfittato della buona reputazione di questo dominio per distribuire false pagine di accesso e raccogliere credenziali di accesso. La performance del fornitore di VT è significativamente migliore in questa particolare campagna: 151 dei 649 domini ombra sono stati classificati come pericolosi, ma comunque meno di un quarto di tutti i domini.

Come funziona l'ombreggiatura del dominio

I criminali informatici utilizzano i nomi di dominio per vari scopi illegali, tra cui la comunicazione con i server C2, la diffusione di malware, frodi e phishing. Per supportare queste attività, i truffatori possono acquistare nomi di dominio (registrazione dannosa) o compromettere nomi di dominio esistenti (dirottamento/compromissione del DNS). I modi in cui i criminali possono compromettere un nome di dominio includono il furto delle credenziali del proprietario del dominio con il registrar o il fornitore di servizi DNS, la compromissione del registrar o del fornitore di servizi DNS, la compromissione del server DNS stesso o l'abuso di domini penzolanti.

Lo shadowing del dominio è una sottocategoria del dirottamento DNS in cui gli aggressori cercano di passare inosservati. Innanzitutto, i criminali informatici inseriscono segretamente sottodomini sotto il nome di dominio compromesso. In secondo luogo, conservano i record esistenti per consentire il normale funzionamento di servizi come siti Web, server di posta elettronica e altri servizi che utilizzano il dominio compromesso. Garantendo il funzionamento ininterrotto dei servizi esistenti, i criminali rendono invisibile la compromissione ai proprietari del dominio e improbabile la pulizia delle voci dannose. Di conseguenza, il domain shadowing offre agli aggressori l'accesso a sottodomini virtualmente illimitati che prendono il sopravvento sulla reputazione del dominio compromesso.

Gli aggressori modificano i record DNS dei nomi di dominio esistenti

Quando gli aggressori modificano i record DNS dei nomi di dominio esistenti, prendono di mira i proprietari o gli utenti di tali nomi di dominio. Tuttavia, i criminali utilizzano spesso i domini ombra come parte della loro infrastruttura per supportare attività quali campagne di phishing generiche o operazioni di botnet. Nel caso del phishing, i criminali possono utilizzare i domini shadow come dominio iniziale in un'e-mail di phishing, come nodo intermedio in un reindirizzamento dannoso (ad esempio in un sistema di distribuzione del traffico dannoso) o come pagina di destinazione che ospita il sito Web di phishing. Ad esempio, nelle operazioni botnet, un dominio ombra può essere utilizzato come dominio proxy per offuscare le comunicazioni C2.

Come riconoscere l'ombreggiatura del dominio?

Gli approcci basati sulla caccia alle minacce al rilevamento del dominio ombra presentano problemi quali: B. la mancanza di copertura, il ritardo nell'individuazione e la necessità di manodopera umana. Ecco perché Palo Alto Networks ha sviluppato una pipeline di rilevamento che sfrutta i protocolli di traffico DNS passivi (pDNS). Queste funzionalità sono state utilizzate per addestrare un classificatore di machine learning, che costituisce il nucleo della pipeline di rilevamento.

Approccio progettuale per il classificatore di machine learning

Le caratteristiche si dividono in tre gruppi: quelle relative al potenziale dominio ombra stesso, quelle relative al dominio principale del potenziale dominio ombra e quelle relative agli indirizzi IP del potenziale dominio ombra.

Il primo gruppo è specifico del dominio ombra stesso.Esempi di queste caratteristiche a livello FQDN sono:

  • Deviazione dell'indirizzo IP dall'indirizzo IP del dominio principale (e del suo paese/sistema autonomo).
  • Differenza nella data della prima visita rispetto alla data della prima visita al dominio principale.
  • Se il sottodominio è popolare.

La seconda serie di caratteristiche descrive il dominio radice del candidato dominio ombra. Esempi per questo sono:

  • Il rapporto tra popolare e tutti i sottodomini del dominio principale.
  • L'offset IP medio dei sottodomini.
  • Il numero medio di giorni in cui i sottodomini sono attivi.

La terza serie di caratteristiche si riferisce agli indirizzi IP candidati del dominio ombra, ad esempio:

  • Il rapporto tra dominio apex e FQDN sull'IP.
  • L'offset del paese IP medio dei sottodomini che utilizzano questo IP.

conclusione

I criminali informatici utilizzano domini ombra per varie attività illegali tra cui operazioni di phishing e botnet. È difficile individuare i domini ombra perché i provider di VirusTotal coprono meno del due percento di questi domini. Poiché gli approcci tradizionali basati sulla ricerca delle minacce sono troppo lenti e non riescono a rilevare la maggior parte dei domini ombra, si consiglia un sistema di rilevamento automatico basato sui dati pDNS. Un rilevatore ad alta precisione basato sull'apprendimento automatico elabora terabyte di log DNS e scopre centinaia di domini ombreggiati ogni giorno.

Altro su PaloAltoNetworks.com

 

A proposito di Palo Alto Networks

Palo Alto Networks, leader globale nelle soluzioni di sicurezza informatica, sta plasmando il futuro basato sul cloud con tecnologie che trasformano il modo in cui lavorano le persone e le aziende. La nostra missione è essere il partner preferito per la sicurezza informatica e proteggere il nostro stile di vita digitale. Ti aiutiamo ad affrontare le maggiori sfide di sicurezza del mondo con un'innovazione continua che sfrutta le ultime scoperte in termini di intelligenza artificiale, analisi, automazione e orchestrazione. Fornendo una piattaforma integrata e potenziando un ecosistema di partner in crescita, siamo leader nella protezione di decine di migliaia di aziende su cloud, reti e dispositivi mobili. La nostra visione è un mondo in cui ogni giorno è più sicuro di quello precedente.

 

Articoli relativi all'argomento

Sicurezza IT: NIS-2 ne fa una priorità assoluta

Solo in un quarto delle aziende tedesche il management si assume la responsabilità della sicurezza informatica. Soprattutto nelle aziende più piccole ➡ Leggi di più

Gli attacchi informatici aumenteranno del 104% nel 2023

Una società di sicurezza informatica ha dato uno sguardo al panorama delle minacce dello scorso anno. I risultati forniscono informazioni cruciali su ➡ Leggi di più

Lo spyware mobile rappresenta una minaccia per le aziende

Sempre più persone utilizzano i dispositivi mobili sia nella vita di tutti i giorni che in azienda. Ciò riduce anche il rischio di “mobile ➡ Leggi di più

La sicurezza in crowdsourcing individua molte vulnerabilità

La sicurezza in crowdsourcing è aumentata in modo significativo nell’ultimo anno. Nel settore pubblico sono state segnalate il 151% in più di vulnerabilità rispetto all’anno precedente. ➡ Leggi di più

I criminali informatici stanno imparando

I ricercatori di sicurezza hanno pubblicato il 2024 Incident Response Report, che dipinge un quadro preoccupante dell’aumento delle minacce informatiche. I risultati si basano su ➡ Leggi di più

Sicurezza digitale: i consumatori hanno più fiducia nelle banche

Un sondaggio sulla fiducia digitale ha mostrato che le banche, la sanità e il governo sono i soggetti più fidati da parte dei consumatori. I media- ➡ Leggi di più

Borsa di lavoro nel Darknet: gli hacker cercano insider rinnegati

La Darknet non è solo uno scambio di beni illegali, ma anche un luogo dove gli hacker cercano nuovi complici ➡ Leggi di più

Impianti solari: quanto sono sicuri?

Uno studio ha esaminato la sicurezza informatica degli impianti solari. I problemi includono la mancanza di crittografia durante il trasferimento dei dati, password standard e aggiornamenti firmware non sicuri. tendenza ➡ Leggi di più

  • lista di controllo
  • Indirizzo e didascalia del pulsante modificati
  • Categoria selezionata - per i partner più il nome dell'azienda partner come 2.
  • Immagine incorporata o pollice standard B2B
  • Titolo per nuova immagine come descrizione e testo alternativo
  • Parole chiave - da 4 a 6 dal testo, a partire dal nome dell'azienda (Sophos, sicurezza IT, attacco....)
  • Impostazioni annunci: seleziona entrambe le caselle solo per i partner -> quindi è disattivato
  • Avanti nella casella Yoast SEO
  •  Pulisci e accorcia l'intestazione nella meta descrizione
  • Imposta la frase chiave principale: deve essere inclusa nel titolo e nel testo introduttivo
  • Spiega l'analisi SEO premium se la bontà dell'arancia può essere facilmente portata al verde

 

 

racconti
, , , ,