Число шкідливих неактивних доменів поступово зростає. Як попереджають дослідники з підрозділу Unit42 компанії Palo Alto Networks, приблизно 22,3% застарілих доменів є тією чи іншою формою небезпеки.
Приблизно 3,8% ресурсів є шкідливими, 19% – підозрілими, а 2% – небезпечними для робочого середовища.
Мета реєстрації домену задовго до того, як зловмисники будуть використовувати його в атаках, полягає у створенні «чистого запису», який не дозволить захисним системам підірвати успіх шкідливих кампаній. Як правило, нещодавно зареєстровані домени з більшою ймовірністю можуть бути шкідливими, тому рішення щодо безпеки розглядають їх як підозрілі і мають більше шансів помітити їх.
Проте старіші домени можуть бути ще небезпечнішими. У деяких випадках ці домени залишалися бездіяльними протягом двох років, перш ніж їхній DNS-трафік раптово збільшувався в 165 разів, вказуючи на початок атаки. Очевидною ознакою наявності шкідливого домену є раптовий сплеск його трафіку. Легальні сервіси, які зареєстрували свої домени та запустили сервіси через місяці чи роки, демонструють поступове зростання трафіку. Домени, не призначені для законного використання, зазвичай мають неповний, клонований або сумнівний зміст.
Ще однією явною ознакою навмисне застарілого домену, призначеного для використання у шкідливих кампаніях, є створення піддоменів за допомогою алгоритмів генерації доменних імен (domain generation algorithm, DGA).
DGA — усталений метод генерації унікальних доменних імен та IP-адрес для використання як нові точки зв’язку з командним центром. Аналізуючи лише елемент DGA, експерти щодня виявляли два підозрілі домени, що породжували сотні тисяч піддоменів на день його активації.
Одним із примітних випадків була шпигунська кампанія Pegasus, в якій використовувалися два командні домени, зареєстровані у 2019 році. Кампанія розпочалася у липні 2021 року. Домени DGA відіграли життєво важливу роль у цій кампанії, несучи 23,22% трафіку на день активації, що у 56 разів перевищило звичайні обсяги DNS-трафіку. Через кілька днів DNS-трафік досяг позначки 42,04%.
Інші реальні приклади, виявлені дослідниками, включають фішингові кампанії, в яких піддомени DGA використовувалися як засоби маскування, перенаправляючи небажаних користувачів на легітимні сайти, а жертв – на фішингові.
У більшості випадків застарілі домени використовуються досвідченими учасниками кіберзлочинних угруповань, які діють у більш організованому контексті та мають довгострокові плани.
Наступною моделлю має стати iPhone SE 4, за умови, що не буде затримок. Його вихід…
Модельний ряд iPhone 16 отримав кілька покращень у плані ремонтопридатності. Найбільш значущим нововведенням є використання…
Згідно з останнім випуском інформаційного бюлетеня Марка Гурмана Power On, оновлена версія Siri з використанням…
Попри високі очікування, початкові продажі iPhone 16 виявилися нижчими за прогнозовані. Аналітики вважають, що причиною…
Легендарний колишній дизайнер Apple Джоні Айв спільно з OpenAI, яка останнім часом привертає багато уваги…
Автор YouTube-каналу JerryRigEverything продовжує тестувати на міцність популярні смартфони, і його нове відео присвячене флагманському…