Устаревшие домены используются опытными преступниками для осуществления крупных атак.
Число вредоносных неактивных доменов постепенно растет. Как предупреждают исследователи из подразделения Unit 42 компании Palo Alto Networks, примерно 22,3% устаревших доменов представляют собой ту или иную форму опасности.
Примерно 3,8% ресурсов являются явно вредоносными, 19% — подозрительными, а 2% — небезопасными для рабочей среды.
Цель регистрации домена задолго до того, как злоумышленники будут использовать его в атаках, заключается в создании «чистой записи», которая не позволит защитным системам подорвать успех вредоносных кампаний. Как правило, недавно зарегистрированные домены с большей вероятностью могут быть вредоносными, поэтому решения по обеспечению безопасности рассматривают их как подозрительные и имеют больше шансов пометить их.
Однако более старые домены могут быть еще опаснее. В некоторых случаях эти домены оставались бездействующими в течение двух лет, прежде чем их DNS-трафик внезапно увеличивался в 165 раз, указывая на начало атаки. Очевидным признаком наличия вредоносного домена является внезапный всплеск его трафика. Легальные сервисы, которые зарегистрировали свои домены и запустили сервисы спустя месяцы или годы, демонстрируют постепенный рост трафика. Домены, не предназначенные для законного использования, обычно имеют неполное, клонированное или сомнительное содержание.
Еще одним явным признаком намеренно устаревшего домена, предназначенного для использования во вредоносных кампаниях, является создание поддоменов с помощью алгоритмов генерации доменных имен (domain generation algorithm, DGA).
DGA — устоявшийся метод генерации уникальных доменных имен и IP-адресов для использования в качестве новых точек связи с командным центром. Анализируя только элемент DGA, эксперты каждый день выявляли два подозрительных домена, порождавших сотни тысяч поддоменов в день его активации.
Одним из примечательных случаев была шпионская кампания Pegasus, в которой использовались два командных домена, зарегистрированных в 2019 году. Кампания началась в июле 2021 года. Домены DGA сыграли жизненно важную роль в этой кампании, неся 23,22% трафика в день активации, что в 56 раз превысило обычные объемы DNS-трафика. Через несколько дней DNS-трафик достиг отметки в 42,04%.
Другие реальные примеры, обнаруженные исследователями, включают фишинговые кампании, в которых поддомены DGA использовались в качестве средств маскировки, перенаправляя нежеланных пользователей на легитимные сайты, а жертв — на фишинговые.
В большинстве случаев устаревшие домены используются опытными участниками киберпреступных группировок, которые действуют в более организованном контексте и имеют долгосрочные планы.
Гравитация научных фактов сильнее, чем вы думаете