Araştırmacılar Kötü Amaçlı Stoklanmış Alan Adlarının DNS Kayıtlarını Ele Geçirdi

   Ocak 4, 2024  Posted in CyberSecurityNews


Araştırmacılar, DNS Kayıtlarını Analiz Ederek Kötü Amaçlı Stoklanmış Alan Adlarını Yakaladılar

Kötü amaçlı stoklanmış alan adları, tehdit aktörlerinin aşağıdakiler gibi gelecekteki çeşitli kötü amaçlı etkinlik türleri için önceden edindiği alan adlarının koleksiyonudur: –

  • Kimlik avı saldırıları
  • Kötü amaçlı yazılım dağıtımı
  • Dolandırıcılıklar
  • İstenmeyen Program dağıtımı
  • Kötü Amaçlı Arama Motoru Optimizasyonu (SEO)
  • Yasa dışı içerik dağıtımı

Tüm bu alanlar genellikle tespit edilmekten kaçınmak için başlangıçta kullanılmadan tutulur ve daha sonra gerektiğinde tehdit aktörleri tarafından etkinleştirilir: –

  • Güvenlik açıklarından yararlanın
  • Kullanıcıları aldatmak

Son zamanlarda Palo Alto Networks’ün 42. Birimindeki siber güvenlik araştırmacıları, DNS kayıtlarını analiz ederken kötü amaçlı stoklanmış alan adlarını avladı.

Kötü Amaçlı Stoklanmış Etki Alanları

Saldırgan otomasyonu, çeşitli veri kaynaklarında, güvenlik savunucuları tarafından aşağıdaki konumlarda tespit edilebilecek çeşitli türde izler bırakır: –

  • Sertifika şeffaflığı günlükleri
  • Pasif DNS (pDNS)

Araştırmacılar, daha geniş kötü amaçlı etki alanı kapsamı ve erken tespit gibi avantajlara sahip, stoklanmış bir etki alanı algılayıcısı oluşturmak için bilgi bitlerini kullandı.

Bunun yanı sıra terabaytlarca veriyi işlemek için 300’den fazla özellik kullandılar: –

  • Milyarlarca pDNS
  • Milyarlarca sertifika kaydı

Kötü amaçlı ve iyi huylu alanlara ilişkin geniş bir bilgi tabanı aşağıdaki önemli konularda yardımcı oldu: –

  • İtibar hesaplaması
  • Rastgele Orman ML algoritmasını eğitme

Stoklanan alan adlarını tespit etmek için araştırmacılar aşağıdaki altı özellik kategorisini toplar: –

  • Sertifika Özellikleri
  • Alan Adı Sözcük Özellikleri
  • Sertifika Etki Alanı Toplama Özellikleri
  • Sertifika İtibarı ve Toplama Özellikleri
  • pDNS ve Sertifika Toplama Özellikleri
  • pDNS İtibarı ve Toplama Özellikleri
Özellik çıkarma ardışık düzeni
Özellik çıkarma hattı (Kaynak – Palo Alto Networks)

Bir yönlendirme kampanyasında Unit 42’nin dedektörü tarafından 9.000’den fazla kötü amaçlı alan tespit edildi.

Bu tespit oranı, dedektörün VirusTotal’ın %31,7’lik tespit oranını geride bırakan gelişmiş yeteneklerini gösterir. Birim 42 onları ortalama 32,3 gün önce tespit etti.

Cloudflare’in pDNS kimliğini karmaşık hale getirmesine rağmen araştırmacılar, ortak özelliklere sahip rastgele alan adı oluşumunun izini sürdü.

Kampanyadaki mağdurlar, aşağıdakileri içeren reklam yazılımı veya dolandırıcılık sayfalarına yönlendirmeyle karşı karşıya kaldı: –

  • Sahte bildirimler
  • Tıklama tuzağı reklamları
Sahte uyarı mesajı
Sahte uyarı mesajı (Kaynak – Palo Alto Networks)

Palo Alto’nun raporuna göre, İtalya ve Almanya’daki kullanıcıları hedef alan bir kimlik avı kampanyası keşfedildi. Dedektör bu kampanyada ilgili alanları buldu. Ayrıca USPS’i taklit eden başka bir kampanya daha vardı. Bu durumda 17 Haziran ile 28 Ağustos 2023 tarihleri ​​arasında aynı gün içinde 30’un üzerinde alan adı kullanıldı. Raporda, bu alan adlarının dört sertifika kapsamında kaydedilip sertifikalandırıldığı belirtiliyor.

Alan adlarının toplanması ve senkronize oluşturulması, tehdit aktörlerinin otomatik müdahalesini akla getiriyor. 17’den fazla alana sahip bir kampanya, aşağıdaki gibi ortak noktaları kullanarak yüksek getirili yatırım dolandırıcılıklarına odaklandı:

  • Sertifika uzunluğu
  • IP adresi

Ancak tüm kurbanlar, kimlik avını onaylamak için sayfalar ve onay kutuları aracılığıyla yönlendirme yaparak kolay para vaatleriyle kandırıldı.

Son açılış sayfası
Nihai açılış sayfası (Kaynak – Palo Alto Networks)

Tehdit aktörleri, alan adı savaşlarında kurulumlarını aktif olarak otomatikleştirir, ancak toplu kayıt, birçok tespit edilebilir iz bırakır. Ancak başarı, savunucuların kötü niyetli kampanyaları ortaya çıkarmak için veri kümelerini birleştirmesine bağlı.

IOC’ler

Köpek Dolandırıcılığı Örnek Etki Alanı

  • Baronessabernesedağköpeğiyavruları[.]iletişim

Kötü Amaçlı Yönlendirme Kampanyası Etki Alanları

  • ne oldu[.]teşekkürler
  • Pbyiyyht[.]gq
  • Rthgjwci[.]bkz.
  • Cgptvfjz[.]ml
  • Kazanma ikramiyesi[.]hayat

Posta Kimlik Avı Kampanyası Alan Adları

  • Tamamlama adımları bilgisi[.]iletişim
  • Aksunnateknolojileri[.]iletişim
  • 222kamo[.]iletişim
  • Rohost[.]en iyi

USPS Kimlik Avı Kampanyası Etki Alanlarının Bir Örneği

  • Teslimat-usps[.]vip
  • Teslimat-usps[.]wiki
  • Teslimat-usps[.]Ren
  • Usps-yeniden teslimat[.]sanat
  • Usps-yeniden teslimat[.]canlı

USPS Kimlik Avı Kampanyası Sertifikası SHA-1 Parmak İzleri

  • 18:FF:07:F3:05:A7:6A:C2:7A:38:89:C5:06:FD:D7:B8:D9:06:88:AB
  • 89:29:97:5E:E9:F7:14:D9:95:16:9B:B3:74:33:0C:7B:D0:8F:98:30
  • B6:74:45:84:0C:FF:81:05:C2:28:0F:EF:91:23:D8:A0:E8:ED:3A:2E
  • 6A:21:31:8B:F4:0A:04:40:FA:37:46:15:A3:CE:1F:0A:C5:0A:93:C3

Yüksek Getirili Yatırım Dolandırıcılığı Kampanyası Etki Alanları

  • Erinemailbiz[.]iletişim
  • Para kazanmak[.]iletişim
  • Natashafitts[.]iletişim
  • Julieyeoman[.]iletişim
  • Checkout.mytraffic[.]biz



Source link