Jump to content

Каждый пятый устаревший домен является небезопасным


security147

Recommended Posts

https://www.securitylab.ru/upload/iblock/a53/a53bb6480b5aac7c6acc73a2058ddb48.jpg

Каждый пятый устаревший домен является небезопасным

Устаревшие домены используются опытными преступниками для осуществления крупных атак.

Число вредоносных неактивных доменов постепенно растет. Как предупреждают исследователи из подразделения Unit42 компании Palo Alto Networks, примерно 22,3% устаревших доменов представляют собой ту или иную форму опасности.

Примерно 3,8% ресурсов являются явно вредоносными, 19% — подозрительными, а 2% — небезопасными для рабочей среды.

Цель регистрации домена задолго до того, как злоумышленники будут использовать его в атаках, заключается в создании «чистой записи», которая не позволит защитным системам подорвать успех вредоносных кампаний. Как правило, недавно зарегистрированные домены с большей вероятностью могут быть вредоносными, поэтому решения по обеспечению безопасности рассматривают их как подозрительные и имеют больше шансов пометить их.

Однако более старые домены могут быть еще опаснее. В некоторых случаях эти домены оставались бездействующими в течение двух лет, прежде чем их DNS-трафик внезапно увеличивался в 165 раз, указывая на начало атаки. Очевидным признаком наличия вредоносного домена является внезапный всплеск его трафика. Легальные сервисы, которые зарегистрировали свои домены и запустили сервисы спустя месяцы или годы, демонстрируют постепенный рост трафика. Домены, не предназначенные для законного использования, обычно имеют неполное, клонированное или сомнительное содержание.

Еще одним явным признаком намеренно устаревшего домена, предназначенного для использования во вредоносных кампаниях, является создание поддоменов с помощью алгоритмов генерации доменных имен (domain generation algorithm, DGA).

DGA — устоявшийся метод генерации уникальных доменных имен и IP-адресов для использования в качестве новых точек связи с командным центром. Анализируя только элемент DGA, эксперты каждый день выявляли два подозрительных домена, порождавших сотни тысяч поддоменов в день его активации.

Одним из примечательных случаев была шпионская кампания Pegasus, в которой использовались два командных домена, зарегистрированных в 2019 году. Кампания началась в июле 2021 года. Домены DGA сыграли жизненно важную роль в этой кампании, неся 23,22% трафика в день активации, что в 56 раз превысило обычные объемы DNS-трафика. Через несколько дней DNS-трафик достиг отметки в 42,04%.

Другие реальные примеры, обнаруженные исследователями, включают фишинговые кампании, в которых поддомены DGA использовались в качестве средств маскировки, перенаправляя нежеланных пользователей на легитимные сайты, а жертв — на фишинговые.

В большинстве случаев устаревшие домены используются опытными участниками киберпреступных группировок, которые действуют в более организованном контексте и имеют долгосрочные планы.

мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на

, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как

Adblock test (Why?)

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...