Domain Shadowing - Compromisso de DNS para crimes cibernéticos

2. Dezembro 2022
| Sem comentários
Domain Shadowing - Compromisso de DNS para crimes cibernéticos

Compartilhar postagem

Os criminosos cibernéticos comprometem nomes de domínio para atacar proprietários de domínio ou usuários diretamente, ou usá-los para vários empreendimentos nefastos, como phishing, distribuição de malware e operações de comando e controle (C2). Um caso especial de sequestro de DNS é conhecido como sombreamento de domínio, em que os invasores criam secretamente subdomínios maliciosos sob nomes de domínio comprometidos. 

Os domínios de sombra não afetam o funcionamento normal dos domínios comprometidos, tornando-os difíceis de detectar pelas vítimas. A imperceptibilidade desse subdomínio geralmente permite que os criminosos explorem a boa reputação do domínio comprometido por um longo período de tempo.

Caminho de ataque popular para ataques cibernéticos

As abordagens atuais de detecção baseadas em pesquisa de ameaças são trabalhosas e lentas, contando com a detecção de campanhas maliciosas usando domínios sombreados antes que possam examinar diferentes conjuntos de dados para domínios relacionados. Para resolver esses problemas, a Palo Alto Networks projetou e implementou um pipeline automatizado para descobrir domínios ocultos mais rapidamente e em escala para campanhas anteriormente desconhecidas.

O sistema processa terabytes de logs de DNS passivos diariamente para extrair recursos sobre possíveis domínios de sombra. Com base nessas características, ele usa um modelo de aprendizado de máquina de alta precisão para identificar nomes de domínio Schadow. O modelo encontra centenas de domínios de sombra criados diariamente entre dezenas de nomes de domínio comprometidos.

Descubra domínios ocultos

Para ilustrar como é difícil detectar domínios ocultos, os pesquisadores da Palo Alto Networks descobriram que dos 12.197 domínios ocultos detectados automaticamente entre 25 de abril e 27 de junho de 2022, apenas 200 domínios sinalizados como maliciosos por fornecedores no VirusTotal. Por exemplo, um relatório detalhado de uma campanha de phishing usando 649 subdomínios ocultos em 16 domínios comprometidos, como bancobpmmavfhxcc.barwonbluff.com[.]au e carriernhoousvz.brisbanegateway[.]com. Os criminosos aproveitaram a boa reputação desse domínio para distribuir páginas de login falsas e coletar credenciais de login. O desempenho do provedor de VT é significativamente melhor nesta campanha específica: 151 dos 649 domínios de sombra foram classificados como perigosos, mas ainda menos de um quarto de todos os domínios.

Como funciona o sombreamento de domínio

Os cibercriminosos usam nomes de domínio para vários fins ilegais, incluindo comunicação com servidores C2, disseminação de malware, fraude e phishing. Para apoiar essas atividades, os golpistas podem comprar nomes de domínio (registro malicioso) ou comprometer nomes de domínio existentes (sequestro/comprometimento de DNS). As formas pelas quais os criminosos podem comprometer um nome de domínio incluem roubar as credenciais do proprietário do domínio com o registrador ou provedor de serviços DNS, comprometer o registrador ou provedor de serviços DNS, comprometer o próprio servidor DNS ou abusar de domínios pendentes.

Domain shadowing é uma subcategoria de sequestro de DNS na qual os invasores tentam passar despercebidos. Primeiro, os cibercriminosos inserem secretamente subdomínios sob o nome de domínio comprometido. Em segundo lugar, eles mantêm os registros existentes para permitir a operação normal de serviços como sites, servidores de e-mail e outros serviços que usam o domínio comprometido. Ao garantir a operação ininterrupta dos serviços existentes, os criminosos tornam o comprometimento invisível para os proprietários do domínio e a limpeza das entradas maliciosas é improvável. Como resultado, o sombreamento de domínio dá aos invasores acesso a subdomínios virtualmente ilimitados que assumem a reputação do domínio comprometido.

Os invasores alteram os registros DNS de nomes de domínio existentes

Quando os invasores alteram os registros DNS de nomes de domínio existentes, eles visam os proprietários ou usuários desses nomes de domínio. No entanto, os criminosos costumam usar domínios ocultos como parte de sua infraestrutura para dar suporte a esforços como campanhas gerais de phishing ou operações de botnet. No caso de phishing, os criminosos podem usar domínios ocultos como o domínio inicial em um e-mail de phishing, como um nó intermediário em um redirecionamento malicioso (por exemplo, em um sistema de distribuição de tráfego malicioso) ou como uma página de destino que hospeda o site de phishing. Por exemplo, em operações de botnet, um domínio de sombra pode ser usado como um domínio proxy para ofuscar as comunicações C2.

Como reconhecer o sombreamento de domínio?

Abordagens baseadas em caça a ameaças para detecção de domínio de sombra têm problemas como: B. a falta de cobertura, a demora na detecção e a necessidade de mão de obra humana. É por isso que a Palo Alto Networks desenvolveu um pipeline de detecção que utiliza protocolos de tráfego DNS passivos (pDNS). Esses recursos foram usados ​​para treinar um classificador de aprendizado de máquina, que forma o núcleo do pipeline de detecção.

Abordagem de design para o classificador de aprendizado de máquina

As características se enquadram em três grupos: aquelas relacionadas ao domínio sombra potencial em si, aquelas relacionadas ao domínio raiz do domínio sombra potencial e aquelas relacionadas aos endereços IP do domínio sombra potencial.

O primeiro grupo é específico do próprio domínio de sombra. Exemplos dessas características no nível do FQDN são:

  • Desvio do endereço IP do endereço IP do domínio raiz (e seu país/sistema autônomo).
  • Diferença na data da primeira visita em comparação com a data da primeira visita ao domínio raiz.
  • Se o subdomínio é popular.

O segundo conjunto de características descreve o domínio raiz do candidato a domínio sombra. Exemplos para isso são:

  • A proporção de populares para todos os subdomínios do domínio raiz.
  • O deslocamento médio de IP dos subdomínios.
  • O número médio de dias em que os subdomínios estão ativos.

O terceiro conjunto de características refere-se aos endereços IP candidatos ao domínio sombra, por exemplo:

  • A proporção de domínio apex para FQDN no IP.
  • O deslocamento médio do país de IP dos subdomínios que usam esse IP.

conclusão

Os cibercriminosos usam domínios ocultos para várias atividades ilegais, incluindo operações de phishing e botnet. É difícil identificar domínios ocultos porque os provedores do VirusTotal cobrem menos de dois por cento desses domínios. Como as abordagens tradicionais baseadas em pesquisa de ameaças são muito lentas e não conseguem detectar a maioria dos domínios de sombra, recomenda-se um sistema de detecção automatizado baseado em dados pDNS. Um detector de alta precisão baseado em aprendizado de máquina processa terabytes de logs DNS e descobre centenas de domínios ocultos todos os dias.

Mais em PaloAltoNetworks.com

 

Sobre a Palo Alto Networks

A Palo Alto Networks, líder global em soluções de segurança cibernética, está moldando o futuro baseado em nuvem com tecnologias que transformam a maneira como as pessoas e as empresas trabalham. Nossa missão é ser o parceiro preferencial de segurança cibernética e proteger nosso modo de vida digital. Ajudamos você a enfrentar os maiores desafios de segurança do mundo com inovação contínua, aproveitando os avanços mais recentes em inteligência artificial, análise, automação e orquestração. Ao fornecer uma plataforma integrada e capacitar um crescente ecossistema de parceiros, somos líderes na proteção de dezenas de milhares de empresas em nuvens, redes e dispositivos móveis. Nossa visão é um mundo onde cada dia é mais seguro do que o anterior.

 

Artigos relacionados ao tema

Segurança de TI: NIS-2 torna-o uma prioridade máxima

Apenas num quarto das empresas alemãs a gestão assume a responsabilidade pela segurança informática. Especialmente em empresas menores ➡ Leia mais

Os ataques cibernéticos aumentam 104 por cento em 2023

Uma empresa de segurança cibernética deu uma olhada no cenário de ameaças do ano passado. Os resultados fornecem informações cruciais sobre ➡ Leia mais

Spyware móvel representa uma ameaça para as empresas

Cada vez mais pessoas utilizam dispositivos móveis tanto no dia a dia como nas empresas. Isto também reduz o risco de “móveis ➡ Leia mais

A segurança crowdsourced identifica muitas vulnerabilidades

A segurança crowdsourced aumentou significativamente no último ano. No sector público, foram comunicadas 151% mais vulnerabilidades do que no ano anterior. ➡ Leia mais

Os cibercriminosos estão aprendendo

Pesquisadores de segurança divulgaram o Relatório de Resposta a Incidentes de 2024, que mostra um quadro preocupante do aumento das ameaças cibernéticas. As descobertas são baseadas em ➡ Leia mais

Segurança digital: os consumidores são os que mais confiam nos bancos

Uma pesquisa de confiança digital mostrou que os bancos, a saúde e o governo são os que mais confiam nos consumidores. A mídia- ➡ Leia mais

Bolsa de empregos Darknet: Hackers estão procurando por insiders renegados

A Darknet não é apenas uma troca de bens ilegais, mas também um lugar onde os hackers procuram novos cúmplices ➡ Leia mais

Sistemas de energia solar – quão seguros são?

Um estudo examinou a segurança de TI de sistemas de energia solar. Os problemas incluem falta de criptografia durante a transferência de dados, senhas padrão e atualizações de firmware inseguras. tendência ➡ Leia mais

  • lista de verificação
  • Endereço e legenda do botão ajustados
  • Categoria selecionada - para parceiros mais o nome da empresa parceira como 2.
  • Thumb padrão de imagem incorporada ou B2B
  • Título da nova imagem como descrição e texto alternativo
  • Palavras-chave - 4 a 6 do texto, começando com o nome da empresa (Sophos, segurança de TI, ataque....)
  • Configurações de anúncios: marque apenas as duas caixas para parceiros -> está desativado
  • Em seguida na caixa Yoast SEO
  •  Limpe e encurte o cabeçalho na meta descrição
  • Defina a frase-chave do foco – deve ser incluída no título e no texto introdutório
  • Desdobre a análise de SEO premium para saber se a qualidade do laranja pode ser facilmente trazida para o verde

 

 

Stories
, , , ,