サイバー犯罪者は、ドメイン名を侵害して、ドメインの所有者やユーザーを直接攻撃したり、フィッシング、マルウェアの配布、コマンド アンド コントロール (C2) 操作などのさまざまな悪意のあるベンチャーに使用したりします。 DNS ハイジャックの特殊なケースはドメイン シャドーイングと呼ばれ、侵害されたドメイン名の下に攻撃者が密かに悪意のあるサブドメインを作成します。
シャドウ ドメインは侵害されたドメインの通常の動作には影響しないため、被害者による検出が困難になります。 このサブドメインは目立たないため、攻撃者は侵害されたドメインの評判を長期間にわたって悪用できます。
サイバー攻撃の一般的な攻撃経路
現在の脅威研究ベースの検出アプローチは、労働集約的で時間がかかり、関連するドメインのさまざまなデータセットを調べる前に、シャドー ドメインを使用して悪意のあるキャンペーンを検出することに依存しています。 これらの問題を解決するために、Palo Alto Networks は自動化されたパイプラインを設計および実装して、未知のキャンペーンに対してシャドー ドメインをより迅速かつ大規模に発見しました。
システムは、数テラバイトのパッシブ DNS ログを毎日処理して、シャドウ ドメインの可能性に関する特徴を抽出します。 これらの特性に基づいて、高精度の機械学習モデルを使用して Schadow ドメイン名を識別します。 このモデルは、侵害された数十のドメイン名の中から、毎日作成される数百のシャドウ ドメインを検出します。
シャドウ ドメインを発見する
シャドウ ドメインの検出がいかに難しいかを示すために、Palo Alto Networks の研究者は、12.197 年 25 月 27 日から 2022 月 200 日の間に自動的に検出された 649 のシャドウ ドメインのうち、VirusTotal でベンダーによって悪意があるとフラグ付けされたドメインは 16 のみであることを発見しました。 例として、bancobpmmavfhxcc.barwonbluff.com[.]au やcarriernhouousvz.brisbanegateway[.]com などの 151 の侵害されたドメインの下で 649 の隠れたサブドメインを使用したフィッシング キャンペーンの詳細なレポートがあります。 攻撃者はこのドメインの評判を利用して、偽のログイン ページを配布し、ログイン資格情報を収集しました。 この特定のキャンペーンでは、VT プロバイダーのパフォーマンスが大幅に向上しています。XNUMX のシャドウ ドメインのうち XNUMX が危険と分類されましたが、それでも全ドメインの XNUMX 分の XNUMX 未満です。
ドメイン シャドーイングの仕組み
サイバー犯罪者は、C2 サーバーとの通信、マルウェアの拡散、詐欺、フィッシングなど、さまざまな違法な目的でドメイン名を使用します。 これらの活動をサポートするために、詐欺師はドメイン名を購入する (悪意のある登録) か、既存のドメイン名を侵害する (DNS ハイジャック/侵害) ことができます。 犯罪者がドメイン名を侵害する方法には、レジストラーまたは DNS サービス プロバイダーでドメイン所有者の資格情報を盗む、レジストラーまたは DNS サービス プロバイダーを侵害する、DNS サーバー自体を侵害する、ダングリング ドメインを悪用するなどがあります。
ドメイン シャドウイングは、攻撃者が気付かれないようにする DNS ハイジャックのサブカテゴリです。 まず、サイバー犯罪者は侵害されたドメイン名の下にサブドメインを密かに挿入します。 次に、侵害されたドメインを使用する Web サイト、電子メール サーバー、その他のサービスなどのサービスの通常の運用を可能にするために、既存の記録を保持します。 犯罪者は、既存のサービスの中断のない運用を保証することで、ドメイン所有者に侵害を見えなくし、悪意のあるエントリを駆除する可能性を低くします。 その結果、ドメイン シャドーイングにより、攻撃者は侵害されたドメインの評判を乗っ取る実質的に無制限のサブドメインにアクセスできるようになります。
攻撃者が既存のドメイン名の DNS レコードを変更する
攻撃者が既存のドメイン名の DNS レコードを変更すると、それらのドメイン名の所有者またはユーザーが標的になります。 ただし、犯罪者は、一般的なフィッシング キャンペーンやボットネット操作などの取り組みをサポートするために、インフラストラクチャの一部としてシャドウ ドメインを使用することがよくあります。 フィッシングの場合、犯罪者はシャドウ ドメインをフィッシング メールの開始ドメインとして使用したり、悪意のあるリダイレクト (悪意のあるトラフィック分散システムなど) の中間ノードとして使用したり、フィッシング Web サイトをホストするランディング ページとして使用したりできます。 たとえば、ボットネットの運用では、シャドウ ドメインをプロキシ ドメインとして使用して、C2 通信を難読化できます。
ドメインのシャドーイングを認識する方法は?
シャドウ ドメイン検出に対する脅威ハンティング ベースのアプローチには、次のような問題があります。 B. 補償の欠如、発見の遅れ、および人的労働の必要性。 そのため、Palo Alto Networks は、パッシブ DNS トラフィック プロトコル (pDNS) を活用する検出パイプラインを開発しました。 これらの機能は、検出パイプラインのコアを形成する機械学習分類子のトレーニングに使用されました。
機械学習分類器の設計アプローチ
特性は、潜在的なシャドウ ドメイン自体に関連するグループ、潜在的なシャドウ ドメインのルート ドメインに関連するグループ、潜在的なシャドウ ドメインの IP アドレスに関連するグループの XNUMX つのグループに分類されます。
最初のグループは、シャドウ ドメイン自体に固有です. FQDN レベルでのこれらの特性の例は次のとおりです。
- ルート ドメイン (およびその国/自律システム) の IP アドレスからの IP アドレスの偏差。
- ルート ドメインへの最初の訪問日と比較した最初の訪問日との差。
- サブドメインが人気があるかどうか。
特性の XNUMX 番目のセットは、シャドウ ドメイン候補のルート ドメインを記述します。 この例は次のとおりです。
- ルート ドメインのすべてのサブドメインに対する人気の割合。
- サブドメインの平均 IP オフセット。
- サブドメインがアクティブである平均日数。
特性の XNUMX 番目のセットは、シャドウ ドメインの候補 IP アドレスに関連しています。たとえば、次のようになります。
- IP 上の FQDN に対する apex ドメインの比率。
- この IP を使用するサブドメインの平均 IP 国オフセット。
結論
サイバー犯罪者は、フィッシングやボットネット操作など、さまざまな違法行為にシャドー ドメインを使用します。 VirusTotal のプロバイダーがカバーしているドメインは XNUMX% 未満であるため、シャドウ ドメインを特定することは困難です。 従来の脅威調査ベースのアプローチは遅すぎて、シャドウ ドメインの大部分を検出できないため、pDNS データに基づく自動検出システムをお勧めします。 機械学習に基づく高精度の検出器は、数テラバイトの DNS ログを処理し、毎日何百ものシャドウ ドメインを検出します。
詳しくは PaloAltoNetworks.com をご覧ください
パロアルトネットワークスについて サイバーセキュリティ ソリューションのグローバル リーダーである Palo Alto Networks は、人々や企業の働き方を変革するテクノロジーによって、クラウドベースの未来を形作っています。 私たちの使命は、優先されるサイバーセキュリティ パートナーとなり、私たちのデジタル ライフを保護することです。 人工知能、分析、自動化、およびオーケストレーションにおける最新のブレークスルーを活用した継続的なイノベーションにより、世界最大のセキュリティの課題に対処するお手伝いをします。 統合プラットフォームを提供し、拡大するパートナーのエコシステムを強化することで、クラウド、ネットワーク、モバイル デバイス全体で何万もの企業を保護するリーダーとなっています。 私たちのビジョンは、毎日が以前よりも安全な世界です。
トピックに関連する記事
- チェックリスト
- ボタンのアドレスとキャプションを調整
- カテゴリが選択されました - パートナーとパートナーの会社名が 2 の場合。
- 画像組み込みまたは B2B 標準サム
- 説明と代替テキストとしての新しい画像の見出し
- キーワード - 会社名で始まるテキストの 4 ~ 6 個 (Sophos、IT セキュリティ、攻撃など)
- 広告設定: パートナーの両方のボックスのみにチェックを入れる -> オフにする
- Yoast SEOボックスの次へ
- メタディスクリプションのヘッダーをきれいにして短くする
- フォーカス キーフレーズを設定する – 見出しと導入テキストに含める必要があります
- オレンジの良さを簡単にグリーンに持ち込めるかどうか、プレミアム SEO 分析を展開