Na internetu je více škodlivých domén než kdykoli předtím

Každý den jsou registrovány tisíce nových domén, aby si firmy i jednotlivci mohli vytvořit webové stránky, ale nový výzkum společnosti Palo Alto Networks odhalil, že kyberzločinci často registrují škodlivé domény roky předtím, než je hodlají skutečně použít.

Oddělení 42, jak se jmenuje divize společnosti, která se touto tematikou zabývala, poprvé zahájilo výzkum neaktivních škodlivých domén poté, co vyšlo najevo, že je při svém útoku použili aktéři hrozeb, kteří stáli za hackerským útokem na společnost SolarWinds v roce 2019. Za účelem identifikace strategicky stárnoucích domén a sledování jejich aktivity spustila společnost Palo Alto Networks v září 2021 cloudový detektor.

Podle zjištění výzkumníků firmy představuje 22,3 % strategicky stárnoucích domén nějakou formu nebezpečí, přičemž malá část je přímo škodlivá (3,8 %), většina je podezřelá (19 %) a některé jsou nebezpečné pro pracovní prostředí (2 %).

Důvodem, proč kyberzločinci a další aktéři hrozeb nechávají doménu „uzrát“, je vytvoření „čistého záznamu“, aby byla jejich doména s menší pravděpodobností zablokována. Nově registrované domény (NRD) jsou naopak s větší pravděpodobností škodlivé, a proto je bezpečnostní systémy často označují jako podezřelé. Podle společnosti Palo Alto Networks je však u strategicky starých domén třikrát vyšší pravděpodobnost, že budou škodlivé než u NRD.

Odhalování neaktivních škodlivých domén

Při zjištění náhlého nárůstu provozu se často stává, že strategicky stárnoucí doména je ve skutečnosti škodlivá. Je to proto, že u normálních webových stránek obvykle návštěvnost roste postupně od doby jejich vytvoření, protože web navštěvuje stále více lidí poté, co se o něm dozvěděli.

Zároveň domény, které nejsou určeny k legitimním účelům, mají často neúplný, klonovaný nebo pochybný obsah a obvykle také chybí údaje o registrátorovi. Dalším znakem toho, že doména byla zaregistrována a určena k pozdějšímu použití ve škodlivých kampaních, je generování subdomén DGA.

Pro ty, kteří nejsou obeznámeni, DGA neboli algoritmus generování domén je metoda používaná ke generování názvů domén a IP adres, které budou sloužit jako komunikační body příkazů a řízení (C2) používané k vyhnutí se detekci a blokovacím seznamům. Pouhým zkoumáním webů pomocí DGA dokázal cloudový detektor společnosti Palo Alto Networks každý den identifikovat dvě podezřelé domény.

Během svého vyšetřování společnost objevila špionážní kampaň Pegasus, která využívala dvě domény C2 registrované v roce 2019, které se nakonec staly aktivními o dva roky později, v červenci 2021 genericforgreece.com. Výzkumníci společnosti Palo Alto Networks také zjistili phishingové kampaně, které využívaly subdomény DGA, a také zneužití wildcard DNS.

Zdroj: Techradar