Внезапната активност на спящи уебсайтове е подозрителна, установи проучване
(снимка: CC0 Public Domain)

Наблюдението на трафика от домейни, които дълго време не дават признаци на живот, но внезапно се събуждат, разкрива нова тактика на хакерите, установи изследване на подразделението за сигурност Unit 42 на Palo Alto Networks.

Оказва се, че 22,27% от създадените отдавна сайтове са злонамерени, подозрителни или опасни за използване. Проучването е провокирано от факта, че по време на атаката срещу SolarWinds злонамереният троянец е използвал DGA (алгоритми за генериране на домейни) за извеждане на данни от целевите системи към поддомейните.

Специалистите са изследвали проблема с навременното идентифициране на домейни, които киберпрестъпниците регистрират и оставят неактивни – за да имат чиста репутация в момента на атаката и така да измамят защитните филтри.

През септември м.г. експертите са наблюдавали спящи домейни, записвайки динамиката на DNS трафика. Оказва се, че домейните на легитимни компании, подготвяни за бъдещето, оживяват постепенно, а трафикът на домейни, принадлежащи на киберпрестъпници, може да се увеличи 10 пъти на ден.

Именно такава динамика позволява на експертите да идентифицират средно 26 000 потенциално опасни домейни на ден. В края на изследването е установено, че 3,8% от наблюдаваните сайтове са откровено злонамерени, 19% са подозрителни, а 2% са ненадеждни като работна среда.

В допълнение към внезапния и рязък скок в трафика, експертите посочват като сигурни признаци на злонамереност лошото/копирано/неразбираемо съдържание, липсата на данни за заявителя в базата данни WHOIS и наличието на много генерирани от DGA поддомейни.

Нападателите обикновено използват DGA, за да предпазят C2 сървърите си (командни и контролни) от откриване. Мониторингът, базиран само на този индикатор, дава два положителни резултата всеки ден; при тяхното „събуждане”, веднага биват декларирани стотици хиляди поддомейни.

Отличен пример за това е лятната кампания на Pegasus; два от неговите C2 домейни бяха регистрирани през 2019 г. и се събудиха миналия юли с висок процент DGA трафик (23,22% в началото и 42,04% след няколко дни, според Palo Alto Networks).

Домейните, създадени с помощта на DGA, се използват за прикриване и от фишърите, като прокси слой за разделяне на трафика на ботовете – за търсене и анализатори (насочени към легитимни сайтове) и за потенциални жертви (насочени към страници-примамки).

И накрая, DGA се използва за т.нар. черна оптимизация. Измамниците свързват множество уеб страници към един и същ IP адрес, за да увеличат класирането на домейна в търсачките. Филтрите за репутация са склонни да отделят по-малко внимание на почтените домейни спрямо начинаещите, които априори смятат за подозрителни.

Изследването показа, че домейните, които спят в продължение на много месеци или дори няколко години, са по-склонни да поднесат неприятна изненада – според експертите, вероятността е три пъти по-голяма.

Източник