Numri i domeneve të papërdorur me qëllim të keq është në rritje, dhe siç paralajmërojnë studiuesit, afërsisht 22.3% e domeneve të me qëllime strategjike paraqesin një formë rreziku.
Ky fakt i goditi analistët kur u zbulua se aktorët e SolarWinds mbështeteshin në domains e regjistruara vite përpara se të fillonin aktivitetet e tyre keqdashëse.
Bazuar në këtë, përpjekjet për zbulimin e domains strategjik përpara se të kenë mundësinë për të nisur sulme dhe për të mbështetur aktivitetet me qëllim të keq janë rritur.
Një raport nga Njësia e Rrjeteve Palo Alto 42 zbulon gjetjet e studiuesve të tyre pasi kanë parë dhjetëra mijëra domene çdo ditë gjatë gjithë shtatorit 2021.
Ata arritën në përfundimin se afërsisht 3.8% janë me qëllim të keq, 19% janë të dyshimtë dhe 2% janë të pasigurt për mjediset e punës.
Pse lihet i papërdorur një domain për një kohë të gjtë ?
Qëllimi i regjistrimit të një domain shumë kohë përpara se ta përdorin aktorët e kërcënimit është krijimi i një “rekord të pastër” që do të parandalojë që sistemet e zbulimit të sigurisë të operimit në internet.
Në mënyrë tipike, domenet e sapo regjistruara (NRD) kanë më shumë gjasa të jenë me qëllim të keq, kështu që zgjidhjet e sigurisë i trajtojnë ato si të dyshimta dhe kanë më shumë shanse për t’i shënjuar ato.
Megjithatë, Unit42 shpjegon në raportin e tij se domenet me të papërdorura për një kohë të gjatë kanë tre herë më shumë gjasa të jenë keqdashëse sesa NRD-të.
Në disa raste, këto domene qëndruan të fjetur për dy vjet përpara se trafiku i tyre DNS të rritej papritmas me 165 herë, duke treguar nisjen e një sulmi.
Shenjat e “snake eggs”
Një shenjë e dukshme e një domeni me qëllim të keq është rritja e papritur në trafikun e tij. Shërbimet legjitime që kanë regjistruar domenet e tyre dhe kanë nisur shërbimet muaj ose vite më vonë, shfaqin rritje graduale të trafikut.
Domenet që nuk ishin të destinuara për përdorim legjitim në përgjithësi kanë përmbajtje jo të plotë, të klonuar ose përgjithësisht të diskutueshme. Detajet e regjistrimit të WHOIS mungojnë gjithashtu.
Një tjetër shenjë e qartë e një domeni të “vjetëruar” me qëllim që synohet të përdoret në fushata me qëllim të keq është gjenerimi i nëndomaineve DGA.
DGA (algoritmi i gjenerimit të domenit) është një metodë e krijuar për të gjeneruar emra unik domain dhe adresa IP për të shërbyer si pika të reja komunikimi C2. Qëllimi është të shmangni zbulimin dhe listat e bllokimit.
Duke parë vetëm elementin DGA, detektorët e Palo Alto identifikuan dy domene të dyshimta çdo ditë, duke krijuar qindra mijëra nënfusha në ditën e aktivizimit të tij.
Shembuj Real
Një rast i dukshëm i kapur nga Unit42 në shtator ishte një fushatë spiunazhi Pegasus që përdori dy domene C2 të regjistruara në 2019 dhe u zgjuan në korrik 2021.
Domenet DGA luajtën një rol jetik në atë fushatë, duke mbajtur 23,22% të trafikut në ditën e aktivizimit, i cili u rrit 56 herë më i lartë se vëllimet normale të trafikut DNS. Pak ditë më vonë, trafiku DGA arriti në 42.04% të totalit.
Shembuj të tjerë të botës reale të zbuluar nga kërkuesit përfshijnë fushata phishing që përdorën subdomain DGA si shtresa të fshehta që do t’i drejtojnë vizitorë të papërshtatshëm dhe crawlers drejt sajteve legjitime ndërsa i shtyjnë viktimat në faqet e phishing.
Kjo tregon se këto DGA shërbejnë jo vetëm si domene C2, por edhe si shtresa proxy që mund të konfigurohen në mënyrë eksplicite për nevojat e fushatës.
Më në fund, kishte edhe raste të abuzimit të DNS-së me wildcard, me subdomain të shumtë që të gjithë tregojnë të njëjtën adresë IP.
“Këta emra pritës shërbejnë website të krijuara rastësisht ,” detajon raporti Unit42.
“Ato mund të përdoren për blackhat SEO . Në mënyrë të veçantë, këto faqe interneti lidhen me njëra-tjetrën për të marrë një gradë të lartë nga crawlers e motorëve të kërkimit pa dhënë informacion të vlefshëm.”
Në shumicën e rasteve, domenet me moshë strategjike përdoren nga aktorë të sofistikuar që operojnë në një kontekst më të organizuar dhe kanë plane afatgjata.
Ato përdoren për të shfrytëzuar DGA për të nxjerrë të dhëna përmes trafikut DNS, për të shërbyer si shtresa përfaqësuese ose për të imituar domenet e well-known brands (cybersquatting).
Megjithëse zbulimi i aktivitetit të DGA është ende sfidues, mbrojtësit mund të arrijnë shumë duke monitoruar të dhënat DNS si pyetjet, përgjigjet dhe adresat IP dhe duke u fokusuar në identifikimin e modeleve.
