Кіберзлочинці компрометують доменні імена, щоб безпосередньо атакувати власників доменів або користувачів, або використовують їх для різних мерзенних дій, таких як фішинг, розповсюдження зловмисного програмного забезпечення та командно-контрольні (C2) операції. Особливий випадок викрадення DNS відомий як тіньове відстеження домену, коли зловмисники таємно створюють шкідливі субдомени під скомпрометованими доменними іменами.
Тіньові домени не впливають на нормальну роботу скомпрометованих доменів, тому їх важко виявити жертвам. Непомітність цього субдомену часто дозволяє зловмисникам використовувати добру репутацію скомпрометованого домену протягом тривалого періоду часу.
Популярний шлях атаки для кібератак
Поточні підходи до виявлення загроз, засновані на дослідженні загроз, є трудомісткими та повільними, вони покладаються на виявлення зловмисних кампаній за допомогою затінених доменів, перш ніж вони зможуть переглянути різні набори даних для пов’язаних доменів. Щоб вирішити ці проблеми, Palo Alto Networks розробила та впровадила автоматизований конвеєр для швидше та масштабного виявлення затінених доменів для раніше невідомих кампаній.
Система щодня обробляє терабайти пасивних журналів DNS, щоб отримати відомості про можливі тіньові домени. На основі цих характеристик він використовує високоточну модель машинного навчання для ідентифікації доменних імен Schadow. Модель знаходить сотні тіньових доменів, що створюються щодня серед десятків скомпрометованих доменних імен.
Відкрийте тіньові домени
Щоб проілюструвати, наскільки важко виявити тіньові домени, дослідники з Palo Alto Networks виявили, що з 12.197 25 тіньових доменів, які вони автоматично виявили в період з 27 квітня по 2022 червня 200 року, лише 649 доменів було позначено постачальниками на VirusTotal як шкідливі. Як приклад, детальний звіт про фішингову кампанію з використанням 16 прихованих субдоменів у 151 скомпрометованих доменах, таких як bancobpmmavfhxcc.barwonbluff.com[.]au та carriernhoousvz.brisbanegateway[.]com. Зловмисники скористалися хорошою репутацією цього домену, щоб поширювати підроблені сторінки входу та збирати облікові дані для входу. Ефективність постачальника VT значно краща в цій конкретній кампанії: 649 із XNUMX тіньових доменів було класифіковано як небезпечні, але все одно менше чверті всіх доменів.
Як працює відстеження домену
Кіберзлочинці використовують доменні імена для різноманітних незаконних цілей, включаючи зв’язок із серверами C2, поширення шкідливих програм, шахрайство та фішинг. Щоб підтримувати ці дії, шахраї можуть або купувати доменні імена (зловмисна реєстрація), або скомпрометувати існуючі доменні імена (викрадення/компрометація DNS). Злочинці можуть скомпрометувати доменне ім’я, зокрема викрадення облікових даних власника домену в реєстратора чи постачальника послуг DNS, скомпрометацію реєстратора чи постачальника послуг DNS, скомпрометацію самого DNS-сервера або зловживання висячими доменами.
Перегляд домену — це підкатегорія викрадення DNS, у якій зловмисники намагаються залишитися непоміченими. По-перше, кіберзлочинці таємно вставляють субдомени під скомпрометоване доменне ім’я. По-друге, вони зберігають наявні записи, щоб забезпечити нормальну роботу таких служб, як веб-сайти, сервери електронної пошти та інші служби, які використовують скомпрометований домен. Забезпечуючи безперебійну роботу існуючих сервісів, зловмисники роблять компрометацію непомітною для власників домену, а очищення від шкідливих записів малоймовірною. У результаті тіньове відстеження домену надає зловмисникам доступ до практично необмеженої кількості субдоменів, які переймають репутацію скомпрометованого домену.
Зловмисники змінюють DNS-записи існуючих доменних імен
Коли зловмисники змінюють DNS-записи існуючих доменних імен, вони атакують власників або користувачів цих доменних імен. Однак злочинці часто використовують тіньові домени як частину своєї інфраструктури для підтримки таких зусиль, як загальні фішингові кампанії або операції ботнетів. У разі фішингу злочинці можуть використовувати тіньові домени як початковий домен у фішинговому електронному листі, як проміжний вузол у зловмисному перенаправленні (наприклад, у системі розподілу шкідливого трафіку) або як цільову сторінку, на якій розміщено фішинговий веб-сайт. Наприклад, під час операцій ботнету тіньовий домен можна використовувати як проксі-домен для обфускації зв’язку C2.
Як розпізнати тінь домену?
Підходи до виявлення тіньового домену на основі пошуку загроз мають такі проблеми, як: B. відсутність охоплення, затримка виявлення та потреба в людській праці. Ось чому Palo Alto Networks розробила конвеєр виявлення, який використовує пасивні протоколи трафіку DNS (pDNS). Ці функції були використані для навчання класифікатора машинного навчання, який утворює ядро конвеєра виявлення.
Підхід до розробки класифікатора машинного навчання
Характеристики поділяються на три групи: пов’язані з самим потенційним тіньовим доменом, пов’язані з кореневим доменом потенційного тіньового домену та пов’язані з IP-адресами потенційного тіньового домену.
Перша група стосується самого тіньового домену. Приклади цих характеристик на рівні FQDN:
- Відхилення IP-адреси від IP-адреси кореневого домену (і його країни/автономної системи).
- Різниця в даті першого відвідування порівняно з датою першого відвідування кореневого домену.
- Чи популярний субдомен.
Другий набір характеристик описує кореневий домен кандидата в тіньовий домен. Приклади для цього:
- Співвідношення кількості популярних до всіх піддоменів кореневого домену.
- Середнє зміщення IP субдоменів.
- Середня кількість днів, коли субдомени активні.
Третій набір характеристик стосується IP-адрес потенційних тіньових доменів, наприклад:
- Співвідношення вершинного домену до FQDN на IP.
- Середнє зміщення IP-адреси країни для субдоменів, які використовують цю IP-адресу.
висновок
Кіберзлочинці використовують тіньові домени для різних незаконних дій, включаючи фішинг і операції ботнетів. Важко помітити тіньові домени, оскільки постачальники VirusTotal покривають менше двох відсотків цих доменів. Оскільки традиційні підходи, засновані на дослідженні загроз, є надто повільними та не можуть виявити більшість тіньових доменів, рекомендується автоматизована система виявлення на основі даних pDNS. Високоточний детектор на основі машинного навчання щодня обробляє терабайти журналів DNS і виявляє сотні тіньових доменів.
Більше на PaloAltoNetworks.com
Про Palo Alto Networks Palo Alto Networks, світовий лідер у сфері рішень для кібербезпеки, формує хмарне майбутнє за допомогою технологій, які змінюють спосіб роботи людей і компаній. Наша місія — бути кращим партнером із кібербезпеки та захищати наш цифровий спосіб життя. Ми допомагаємо вам вирішувати найбільші світові виклики безпеки за допомогою безперервних інновацій, використовуючи останні досягнення в області штучного інтелекту, аналітики, автоматизації та оркестровки. Пропонуючи інтегровану платформу та надаючи можливості зростаючій екосистемі партнерів, ми є лідерами у захисті десятків тисяч компаній у хмарах, мережах і мобільних пристроях. Наше бачення — це світ, у якому кожен день безпечніший за попередній.
Статті по темі
- контрольний список
- Скоригована адреса кнопки та підпис
- Вибрана категорія - для партнерів плюс назва компанії-партнера як 2.
- Вбудоване зображення або стандартний значок B2B
- Заголовок для нового зображення як опис і альтернативний текст
- Ключові слова - від 4 до 6 з тексту, починаючи з назви компанії (Sophos, IT-безпека, атака....)
- Налаштування реклами: відзначте лише обидва поля для партнерів -> тоді вимкнено
- Далі в полі Yoast SEO
- Очистіть і скоротіть заголовок у метаописі
- Встановіть ключову фразу фокуса – вона повинна бути включена в заголовок і вступний текст
- Розгорніть першокласний SEO-аналіз, чи легко помаранчевий колір можна перетворити на зелений