Американська компанія з кібербезпеки Palo Alto Network не втрачає даремно часу навіть у передсвяткові дні, а саме за два дні до Нового року опублікувала у своєму блозі досить інформативне дослідження про стратегічно старі домени та про те, які загрози вони представляють. Згідно з цим дослідженням, такі домени становлять навіть більший ризик, ніж ті, що були щойно зареєстрованими доменами (NRD). Порівнюючи дані, отримані в ході дослідження, шкідливі неактивні домени, що мали обмежений трафік місяцями або роками, раптово можуть отримати більш ніж у 10,3 рази більше трафіку протягом одного дня. Це втричі вище, ніж у щойно зареєстрованих доменах.
У результаті 22,27% таких доменів виявилися небезпечними для роботи, підозрілими чи шкідливими.
За допомогою хмарного детектора фахівці спостерігали за діяльністю доменів і змогли точно визначити саме стратегічно застарілі домени. Вони отримували майже 30 000 доменів щодня, використовуючи дані пасивної системи доменних імен (механізм для зберігання даних системи доменних імен (DNS), який згодом може допомогти ідентифікувати шкідливі інфраструктури). У результаті 22,27% з них виявилися небезпечними для роботи, підозрілими чи шкідливими.
При проведенні свого дослідження фахівці використовували наявну інформацію щодо атаки поступального ланцюга зараженння SolarWinds (троян SUNBURST). Вони дослідили зловмисну кампанію, щоб виявити її основні характеристики, які могли б допомогти у виявленні подібних загроз пролонгованої дії (APT). У ході розслідування фахівці зіткнулися з цікавим фактом, а саме, що аж за декілька років до початку активної роботи з проникнення хакери зареєстрували домен для команди та управління (C2).
Фахівці Palo Alto кажуть, що така поведінка типова для атак пролонгованої дії, коли троянські віруси залишаються неактивними в мережах жертв довгий час, перш ніж зловмисники вирішать запустити безпосередню атаку. Крім того, хакери реєструють кілька доменів, щоб у разі блокування одного з них, вони могли швидко перезапустити атаку на інший. Не тільки атаки пролонгованої дії, як SolarWinds успішно проводяться на стратегічно зістарених доменах, але також такі зловмисницькі дії, як чорна пошукова оптимізація (SEO), фішинг, встановленння точки команди та контролю. Причина широкого вжитку хакерами стратегічно зістарених доменів можна пояснити роботою механізму репутації. Їх виявлення займає більше часу, тому що такі домени з часом отримують позитивну репутацію, до того як вони раптово починають шкідливу діяльність.
Фахівці розділили відскановані домени на чотири групи
Під час згаданої атаки SolarWinds, хакери налаштували троянський вірус таким чином, щоб використовувати алгоритми генерації домену (DGA) для вилучення ідентифікаторів цільових машин із субдоменами. Для виявлення подібних атак, фахівці радять виконувати сканування всіх імен хостів стратегічно зістарених доменів, що допоможе виявити значну кількість нових субдоменів, які можуть бути потенційними зловмисницькими доменами. Результати показали, що близько 161 згенерованих субдоменів алгоритму генерації переносять 43,19% пакетного трафіку.
Фахівці розділили відскановані домени на чотири групи: інші, небезпечні для роботи, підозрілі та шкідливі. До зловмисної групи було віднесено фішинг, сірі програми, команда та керування, шкідливі програми та інші елементи,що зареєстровані на VirusTotal. Підозріла група зібрала разом домени високого ризику, недостатньо якісного вмісту, сумнівні і довгий час не активні домени. Азартні ігри, контент для дорослих, нюд, тощо було віднесено до небезпечної для роботи групи. Решта, яких не вдалося ідентифікувати, були згруповані окремо. Судячи з відсоткових показників, 3,8% стратегічно зістарених доменів виявили шкідливу поведінку. Це вище, ніж у нещодавно зареєстрованих доменів з 1,27%.