Потеря личных данных неизбежна: для чего хакеры «копят» вредоносные домены

Киберпреступники часто запасают большое количество доменных имён для своих мошеннических действий. В исследовательских кругах это явление получило название «domain stockpilling» или «накопление доменов».

Накопление доменов представляет собой значительную угрозу в области кибербезопасности, поскольку позволяет злоумышленникам создавать обширные сети фишинговых и мошеннических сайтов. Эти сайты часто маскируются под легитимные веб-ресурсы, вводя в заблуждение пользователей и заставляя их раскрывать конфиденциальную информацию, такую как логины, пароли, данные банковских карт и другие личные данные.

Кроме того, накопленные домены могут использоваться для распространения вредоносного ПО и проведения атак на критически важные инфраструктуры. В то же время, отслеживание и блокировка таких доменов представляет для специалистов серьёзное испытание с учётом их количества и постоянного обновления.

Для эффективного решения вышеописанной проблемы специалисты Unit 42 из Palo Alto Networks разработали новый метод раннего обнаружения накопления вредоносных доменов, используя обширные базы данных и машинное обучение.

При создании большого числа подобных доменов злоумышленники используют различные сервисы и скрипты, чтобы автоматизировать и ускорить рутинные действия. Работа такой автоматизации обычно оставляет следы в различных источниках данных, таких как журналы прозрачности сертификатов и пассивные данные DNS. Именно эти следы можно использовать для выявления подозрительной активности, что и сделали исследователи.

Для обнаружения накопленных доменов специалистами Palo Alto Networks было разработано более 300 признаков и обработаны терабайты данных, включая миллиарды записей pDNS и сертификатов. Для обучения алгоритма машинного обучения «Random Forest» использовалась база знаний, состоящая из миллионов как злонамеренных, так и безопасных доменов.

Методика проходила весьма долгую обкатку, а уже к июлю этого года при помощи своей новой системы специалистами Palo Alto было обнаружено свыше миллиона уникальных злонамеренных доменных имён, а ещё десятки тысяч подозрительных доменов выявляются ежедневно.

Согласно проведённым замерам и тестам, новая модель обнаруживала накопленные домены в среднем на 34 дня раньше, чем это делали поставщики данных на VirusTotal. Такой срок является настоящим рекордом, когда речь идёт о сфере кибербезопасности.

Автоматизированная система классификации доменов надёжно защищает клиентов продуктов Palo Alto Networks, однако компания не забывает блокировать выявленные домены и делиться данными с другими компаниями, поэтому риски снижаются для всех в отрасли.

Благодаря автоматизации исследователи Unit 42 раскрыли уже множество кампаний, связанных с фишингом, распространением вредоносного ПО и другими видами киберпреступлений, включая мошеннические сайты, имитирующие легитимные почтовые службы разных стран.

Эффективность подхода, использованного в Palo Alto Networks, подчёркивает важность объединения множества крупных наборов данных, таких как pDNS и журналы сертификатов, для раскрытия злонамеренных кампаний.

Исследователи и дальше продолжат работать над усовершенствованием своих методов обнаружения и предотвращения киберугроз, чтобы обеспечить максимально возможную защиту как для своих клиентов, так и для всех участников киберпространства.