Кожен п’ятий застарілий домен є небезпечним

Число шкідливих неактивних доменів поступово зростає. Як попереджають дослідники з підрозділу Unit42 компанії Palo Alto Networks, приблизно 22,3% застарілих доменів є тією чи іншою формою небезпеки.

Приблизно 3,8% ресурсів є шкідливими, 19% – підозрілими, а 2% – небезпечними для робочого середовища.

Мета реєстрації домену задовго до того, як зловмисники будуть використовувати його в атаках, полягає у створенні «чистого запису», який не дозволить захисним системам підірвати успіх шкідливих кампаній. Як правило, нещодавно зареєстровані домени з більшою ймовірністю можуть бути шкідливими, тому рішення щодо безпеки розглядають їх як підозрілі і мають більше шансів помітити їх.

Проте старіші домени можуть бути ще небезпечнішими. У деяких випадках ці домени залишалися бездіяльними протягом двох років, перш ніж їхній DNS-трафік раптово збільшувався в 165 разів, вказуючи на початок атаки. Очевидною ознакою наявності шкідливого домену є раптовий сплеск його трафіку. Легальні сервіси, які зареєстрували свої домени та запустили сервіси через місяці чи роки, демонструють поступове зростання трафіку. Домени, не призначені для законного використання, зазвичай мають неповний, клонований або сумнівний зміст.

Ще однією явною ознакою навмисне застарілого домену, призначеного для використання у шкідливих кампаніях, є створення піддоменів за допомогою алгоритмів генерації доменних імен (domain generation algorithm, DGA).

DGA — усталений метод генерації унікальних доменних імен та IP-адрес для використання як нові точки зв’язку з командним центром. Аналізуючи лише елемент DGA, експерти щодня виявляли два підозрілі домени, що породжували сотні тисяч піддоменів на день його активації.

Одним із примітних випадків була шпигунська кампанія Pegasus, в якій використовувалися два командні домени, зареєстровані у 2019 році. Кампанія розпочалася у липні 2021 року. Домени DGA відіграли життєво важливу роль у цій кампанії, несучи 23,22% трафіку на день активації, що у 56 разів перевищило звичайні обсяги DNS-трафіку. Через кілька днів DNS-трафік досяг позначки 42,04%.

Інші реальні приклади, виявлені дослідниками, включають фішингові кампанії, в яких піддомени DGA використовувалися як засоби маскування, перенаправляючи небажаних користувачів на легітимні сайти, а жертв – на фішингові.

У більшості випадків застарілі домени використовуються досвідченими учасниками кіберзлочинних угруповань, які діють у більш організованому контексті та мають довгострокові плани.