Uno de cada cinco dominios obsoletos es dañino, riesgoso o inseguro

La cantidad de dominios inactivos maliciosos está aumentando y, como advierten los investigadores, alrededor del 22,3 por ciento de los dominios estratégicamente envejecidos representan algún tipo de peligro.

Esta fue una constatación que sorprendió a los analistas cuando se reveló que los actores de amenazas de SolarWinds confiaban en dominios registrados años antes de que comenzaran sus actividades maliciosas.

En base a esto, los esfuerzos para detectar dominios estratégicamente obsoletos antes de que tengan la oportunidad de lanzar ataques y respaldar actividades maliciosas se han hecho realidad.

Un informe de Unit42 de Palo Alto Networks revela los hallazgos de sus investigadores después de escanear decenas de miles de dominios todos los días durante septiembre de 2021.

Concluyeron que alrededor del 3.8% es francamente dañino, el 19% es sospechoso y el 2% es inseguro para el lugar de trabajo.

Porcentaje de dominios sospechosos entre los analizados
Porcentaje de dominios sospechosos entre los analizados
Fuente: Unit42
Índice de contenidos
  1. ¿Por qué dejar envejecer un dominio?
  2. Signos de "huevos de serpiente"
  3. Ejemplos reales

¿Por qué dejar envejecer un dominio?

El objetivo del registro de dominios mucho antes de que lo utilicen las amenazas es crear un "registro limpio" que evite que los sistemas de detección de seguridad socaven el éxito de las campañas maliciosas.

Los dominios recién registrados (NRD) generalmente tienen más probabilidades de ser maliciosos, por lo que las soluciones de seguridad los consideran sospechosos y tienen más posibilidades de informarlos.

Sin embargo, Unit42 explica en su informe que los dominios estratégicamente envejecidos tienen tres veces más probabilidades de ser dañinos que los NRD.

En algunos casos, estos dominios quedaron inactivos durante dos años antes de que su tráfico DNS aumentara repentinamente 165 veces, lo que indica que se lanzó un ataque.

Signos de "huevos de serpiente"

Una señal obvia de un dominio malicioso es el aumento repentino de su tráfico. Los servicios legítimos que registraron sus dominios y lanzaron servicios meses o años después muestran un crecimiento paulatino del tráfico.

Los dominios que no fueron destinados a un uso legítimo generalmente tienen contenido incompleto, clonado o cuestionable en general. Como era de esperar, también faltan los detalles del solicitante de registro de WHOIS.

Sitio web generado por DGA que aloja contenido sospechoso
Sitio web generado por DGA que aloja contenido sospechoso
Fuente: Unit42

Otro signo claro de un dominio intencionalmente envejecido que debería usarse en campañas maliciosas es la generación de subdominios DGA.

DGA (Domain Generation Algorithm) es un método bien establecido para generar nombres de dominio y direcciones IP únicos para su uso como nuevos puntos de comunicación C2. El objetivo es evadir la detección y las listas de bloqueo.

Mirando solo el elemento DGA, los detectores en Palo Alto identificaron dos dominios sospechosos cada día, generando cientos de miles de subdominios el día de su activación.

Ejemplos reales

Un caso notable capturado por Unit42 en septiembre fue una campaña de espionaje de Pegasus que utilizó dos dominios C2 registrados en 2019 y despertados en julio de 2021.

Los dominios DGA desempeñaron un papel fundamental en esa campaña, ya que transportaron el 23,22% del tráfico el día de la activación, alcanzando un pico 56 veces mayor que los volúmenes de tráfico DNS normales. Unos días después, el tráfico DGA alcanzó el 42,04% del total.

Pico de tráfico en la campiña de Pegaso
Pico de tráfico en la campiña de Pegaso
Fuente: Unit42

Otros ejemplos del mundo real encontrados por investigadores incluyen campañas de phishing que utilizaron subdominios DGA como capas de encubrimiento que dirigirán a los visitantes y rastreadores inadecuados a sitios legítimos mientras atraen a las víctimas a páginas de phishing.

Esto demuestra que estos DGA sirven no solo como dominios C2, sino también como capas proxy que se pueden configurar explícitamente de acuerdo con las necesidades de la campaña.

Finalmente, también ha habido casos de abuso de DNS comodín, con múltiples subdominios que apuntan a la misma dirección IP.

"Estos nombres de host sirven a sitios web generados aleatoriamente que compilan algunas plantillas de sitios web con cadenas aleatorias", explica el informe Unit42.

“Podrían usarse para SEO de sombrero negro. Específicamente, estas páginas web se vinculan entre sí para obtener una alta clasificación de los rastreadores de los motores de búsqueda sin proporcionar información valiosa ".

En la mayoría de los casos, los dominios estratégicamente envejecidos son utilizados por actores sofisticados que operan en un contexto más organizado y tienen planes a largo plazo.

Se utilizan para aprovechar DGA para exfiltrar datos a través del tráfico DNS, actuar como capas de proxy o imitar dominios de marcas conocidas (ciberocupación).

Si bien la detección de la actividad de la DGA sigue siendo difícil, los defensores pueden lograr mucho si controlan los datos del DNS, como consultas, respuestas y direcciones IP, y se centran en identificar patrones.

Descubre más contenido

Subir Change privacy settings