Ribuan domain baru didaftarkan (terbuka di tab baru) setiap hari sehingga bisnis dan individu dapat membangun situs web (terbuka di tab baru) tetapi penelitian baru dari Palo Alto Networks mengungkapkan bahwa penjahat dunia maya sering mendaftarkan domain berbahaya (terbuka di tab baru) tahun sebelum mereka berniat untuk benar-benar menggunakannya.
Unit 42 perusahaan keamanan siber (terbuka di tab baru) pertama kali memulai penelitiannya ke dalam domain jahat yang tidak aktif setelah terungkap bahwa aktor ancaman di balik peretasan SolarWinds tahun 2019 (terbuka di tab baru) menggunakannya dalam serangan mereka. Untuk mengidentifikasi domain berusia strategis dan memantau aktivitasnya, Palo Alto Networks meluncurkan detektor berbasis cloud pada September 2021.
Menurut temuan para peneliti perusahaan, 22,3 persen domain yang berusia strategis menimbulkan beberapa bentuk bahaya dengan sebagian kecil langsung berbahaya (3,8%), mayoritas mencurigakan (19%) dan beberapa tidak aman untuk lingkungan kerja ( 2%).
Alasan penjahat dunia maya dan pelaku ancaman lainnya membiarkan domain sudah tua adalah untuk membuat “catatan bersih” sehingga domain mereka cenderung diblokir. Sebaliknya, domain yang baru didaftarkan (NRD) cenderung berbahaya dan karena alasan ini, sistem keamanan sering menandainya sebagai mencurigakan. Namun, menurut Palo Alto Networks, domain berusia strategis tiga kali lebih mungkin berbahaya daripada NRD.
Mendeteksi domain berbahaya yang tidak aktif
Saat lonjakan lalu lintas yang tiba-tiba terdeteksi, sering kali domain yang berumur strategis sebenarnya berbahaya. Hal ini karena situs web normal biasanya melihat lalu lintasnya tumbuh secara bertahap sejak dibuat karena lebih banyak orang mengunjungi situs setelah mempelajarinya dari mulut ke mulut atau iklan.
Pada saat yang sama, domain yang tidak dimaksudkan untuk tujuan yang sah seringkali memiliki konten yang tidak lengkap, kloning, atau dipertanyakan dan biasanya tidak memiliki WHOIS (terbuka di tab baru) detail pendaftar juga. Tanda lain bahwa domain telah didaftarkan dan dimaksudkan untuk digunakan di lain waktu dalam kampanye jahat adalah pembuatan subdomain DGA.
Bagi mereka yang tidak terbiasa, DGA atau algoritma pembuatan domain (terbuka di tab baru) adalah metode yang digunakan untuk menghasilkan nama domain dan alamat IP yang akan berfungsi sebagai titik komunikasi perintah dan kontrol (C2) yang digunakan untuk menghindari deteksi dan daftar blokir. Hanya dengan memeriksa situs menggunakan DGA, pendeteksi berbasis cloud Palo Alto Networks mampu mengidentifikasi dua domain yang mencurigakan setiap hari.
Selama penyelidikannya, perusahaan keamanan siber menemukan kampanye mata-mata Pegasus (terbuka di tab baru) yang menggunakan dua domain C2 terdaftar pada 2019 yang akhirnya menjadi aktif dua tahun kemudian pada Juli 2021. Peneliti Palo Alto Networks juga menemukan kampanye phishing yang menggunakan subdomain DGA serta DNS wildcard (terbuka di tab baru) melecehkan.
Kami juga menyoroti hosting web terbaik (terbuka di tab baru), perangkat lunak perlindungan titik akhir terbaik (terbuka di tab baru) dan perangkat lunak penghapus malware terbaik (terbuka di tab baru)
Melalui Komputer Bleeping (terbuka di tab baru)