Skrivanje domene sve je popularnija metoda među cyber kriminalcima

Stručnjaci u Jedinici 42 (eng. Unit 42), Palo Altovom timu za obavještavanje o prijetnjama, otkrili su da kibernetički kriminalci sve više koriste tehniku ​​poznatu kao skrivanje domene (eng. domain shadowing) kako bi olakšali hosting zlonamjernih web stranica.

Između travnja i lipnja ove godine otkriveno je oko 12.197 slučajeva "sjenčanja domene", što pokazuje značajan porast u korištenju ove tehnike.

Inače, skrivanje domene vrsta je "krađe" DNS-a (Domain Name System) koja se događa kada mu hakeri "ugroze legitimne domene i naprave vlastite poddomene za korištenje za zlonamjerne aktivnosti".

No hakeri pritom ne mijenjaju legitimne DNS unose koji već postoje, već umjesto toga odlučuju koristiti domenu na način koji neće upozoriti vlasnike na kompromitaciju. Napadači koriste ove zlonamjerne poddomene za hosting C2 adresa, web stranica za krađu identiteta i web stranica koja se sastoji od malwarea.

Budući da su korijenske domene ovih zahtjeva legitimni izvori, to napadačima omogućava zaobilaženje sigurnosnih provjera zlouporabom dobre "reputacije" otete domene. Isto tako, budući da je domena verificirana, vjerojatnije je da će korisnici pristupiti ili poslati podatke na jednu od ovih otetih domena, baš zato što se URL čini pouzdanim.

"Skrivanje domene" može biti izrazito teško za otkriti bez mogućnosti analize DNS zapisa u velikom broju organizacija, što ovu taktiku čini primamljivom hakerima.

"Kako bismo ukazali na sve teškoće u otkrivanju "skrivanje domene", uzeli smo primjer VirusTotala, koji je prepoznao samo 200 od 12.197 otetih domena, otkrivenih s naše strane između 25. travnja i 27. lipnja ove godine", navode stručnjaci iz Palo Alta.

Naravno, treba naglasiti i da se u toj kompaniji bave pružanjem zaštite za ovu vrstu napada pa možda nisu potpuno pouzdani kad prezentiraju brojke do kojih su došli u svojim istraživanjima.