İşletmelerin ve bireylerin web siteleri oluşturabilmeleri için her gün binlerce yeni alan adı kaydediliyor, ancak Palo Alto Networks’ün yeni araştırması, siber suçluların genellikle kötü amaçlı alan adlarını gerçekten kullanmaya niyetlenmelerinden yıllar önce kaydettiklerini ortaya koydu.
Siber güvenlik firmasının Unit 42’si, 2019’daki SolarWinds saldırısının arkasındaki tehdit aktörlerinin saldırılarında bunları kullandıklarının ortaya çıkmasından sonra ilk olarak uykuda olan kötü amaçlı alan adlarıyla ilgili araştırmalarına başladı. Palo Alto Networks, stratejik olarak eskimiş alanları belirlemek ve etkinliklerini izlemek için Eylül 2021’de bulut tabanlı bir dedektör başlattı.
Firmanın araştırmacılarının bulgularına göre, stratejik olarak eskimiş alanların yüzde 22,3’ü, küçük bir kısmı doğrudan kötü niyetli (%3,8), çoğunluğu şüpheli (%19) ve bazılarının çalışma ortamları için güvensiz olduğu bir tür tehlike oluşturuyor ( %2).
Siber suçluların ve diğer tehdit aktörlerinin bir alan adının yaşı olmasına izin vermelerinin nedeni, alan adlarının bloke edilme olasılığının daha düşük olması için “temiz bir kayıt” oluşturmaktır. Öte yandan yeni kaydedilen alan adlarının (NRD’ler) kötü niyetli olma olasılığı daha yüksektir ve bu nedenle güvenlik sistemleri bunları genellikle şüpheli olarak işaretler. Bununla birlikte, Palo Alto Networks’e göre, stratejik olarak eskimiş etki alanlarının kötü niyetli olma olasılığı NRD’lerden üç kat daha fazladır.
Uyuyan kötü niyetli etki alanlarını algılama
Trafikte ani bir artış algılandığında, genellikle stratejik olarak eski bir alan adı aslında kötü amaçlıdır. Bunun nedeni, normal web sitelerinin trafiklerinin genellikle oluşturuldukları andan itibaren, ağızdan ağza veya reklam yoluyla bir siteyi öğrendikten sonra daha fazla kişi ziyaret ettikçe kademeli olarak arttığını görmesidir.
Aynı zamanda, meşru amaçlara yönelik olmayan alanlar genellikle eksik, klonlanmış veya şüpheli içeriğe sahiptir ve genellikle WHOIS kaydeden ayrıntılarından yoksundur. Bir alan adının kaydedildiğinin ve daha sonra kötü amaçlı kampanyalarda kullanılmak üzere tasarlandığının bir başka işareti de DGA alt alan oluşturmadır.
Tanıdık olmayanlar için, DGA veya alan oluşturma algoritması, algılama ve engelleme listelerinden kaçınmak için kullanılan komut ve kontrol (C2) iletişim noktaları olarak hizmet edecek alan adları ve IP adresleri oluşturmak için kullanılan bir yöntemdir. Palo Alto Networks’ün bulut tabanlı dedektörü, sadece DGA kullanarak siteleri inceleyerek her gün iki şüpheli alan tanımlayabildi.
Siber güvenlik firması, araştırması sırasında, 2019’da kayıtlı iki C2 alan adı kullanan ve sonunda iki yıl sonra Temmuz 2021’de aktif hale gelen bir Pegasus casusluk kampanyası keşfetti. Palo Alto Networks araştırmacıları ayrıca, joker karakter DNS’nin yanı sıra DGA alt alan adlarını kullanan kimlik avı kampanyaları da buldu. taciz.
Ayrıca altını çizdik en iyi web barındırma, en iyi uç nokta koruma yazılımı ve en iyi kötü amaçlı yazılım temizleme yazılımı
Üzerinden Bipleyen Bilgisayar