Milhares de novos domínios são registrados todos os dias para que empresas e indivíduos possam criar sites, mas uma nova pesquisa da Palo Alto Networks revelou que os cibercriminosos costumam se registrar domínios maliciosos anos antes de realmente pretendem usá-los.
A Unidade 42 da empresa de segurança cibernética começou sua pesquisa em domínios mal-intencionados inativos depois que foi revelado que os atores da ameaça por trás de 2019 hack SolarWinds usaram em seu ataque. Para identificar domínios estrategicamente antigos e monitorar sua atividade, a Palo Alto Networks lançou um detector baseado em nuvem em setembro de 2021.
De acordo com as descobertas dos pesquisadores da empresa, 22,3 por cento dos domínios estrategicamente antigos apresentam alguma forma de perigo, com uma pequena parte sendo totalmente maliciosa (3,8%), a maioria sendo suspeita (19%) e alguns sendo inseguros para ambientes de trabalho ( 2%).
O motivo pelo qual os cibercriminosos e outros atores de ameaças permitem que um domínio seja antigo é criar um “registro limpo” para que seu domínio tenha menos probabilidade de ser bloqueado. Por outro lado, os domínios recém-registrados (NRDs) são mais propensos a serem mal-intencionados e, por esse motivo, os sistemas de segurança costumam sinalizá-los como suspeitos. No entanto, de acordo com a Palo Alto Networks, domínios estrategicamente antigos têm três vezes mais probabilidade de serem maliciosos do que NRDs.
Detectando domínios maliciosos adormecidos
Quando um aumento repentino no tráfego é detectado, geralmente é o caso de um domínio estrategicamente antigo ser realmente malicioso. Isso ocorre porque os sites normais geralmente veem seu tráfego crescer gradualmente a partir do momento em que são criados, à medida que mais pessoas visitam um site após saberem sobre ele por meio de propaganda boca a boca.
Ao mesmo tempo, os domínios que não se destinam a finalidades legítimas costumam ter conteúdo incompleto, clonado ou questionável e, normalmente, também não têm os detalhes do registrante WHOIS. Outro sinal de que um domínio foi registrado e deve ser usado posteriormente em campanhas maliciosas é a geração de subdomínio DGA.
Para quem não conhece, DGA ou algoritmo de geração de domínio é um método usado para gerar nomes de domínio e endereços IP que servirão como pontos de comunicação de comando e controle (C2) usados para evitar a detecção e listas de bloqueio. Apenas examinando sites usando DGA, o detector baseado em nuvem da Palo Alto Networks foi capaz de identificar dois domínios suspeitos a cada dia.
Durante sua investigação, a empresa de segurança cibernética descobriu uma campanha de espionagem Pegasus que usava dois domínios C2 registrados em 2019 que finalmente se tornou ativo dois anos depois, em julho de 2021. Os pesquisadores da Palo Alto Networks também encontraram campanhas de phishing que usavam subdomínios DGA, bem como DNS curinga Abuso.
