Jumlah domain yang tidak aktif berbahaya terus meningkat, dan seperti yang diperingatkan oleh para peneliti, sekitar 22,3% domain yang berusia strategis menimbulkan beberapa bentuk bahaya.
Ini adalah realisasi yang mengejutkan analis ketika terungkap bahwa aktor ancaman SolarWinds mengandalkan domain yang terdaftar bertahun-tahun sebelum kegiatan jahat mereka dimulai.
Berdasarkan itu, upaya dalam mendeteksi domain berbahaya telah meningkat.
Sebuah laporan dari Unit42 Palo Alto Networks mengungkapkan temuan para peneliti mereka setelah melihat puluhan ribu domain setiap hari sepanjang September 2021.
Mereka menyimpulkan bahwa sekitar 3,8% langsung berbahaya, 19% mencurigakan, dan 2% tidak aman untuk lingkungan kerja.
Mengapa membiarkan domain menua
Tujuan di balik mendaftarkan domain jauh sebelum aktor ancaman akan menggunakannya adalah untuk membuat “catatan bersih” yang akan mencegah sistem deteksi keamanan merusak keberhasilan kampanye jahat.
Biasanya, domain yang baru terdaftar (NRD) lebih cenderung berbahaya, sehingga solusi keamanan memperlakukan mereka sebagai mencurigakan dan memiliki lebih banyak kesempatan untuk menandainya.
Namun, Unit42 menjelaskan dalam laporannya bahwa domain yang berusia strategis tiga kali lebih mungkin berbahaya daripada NRD.
Dalam beberapa kasus, domain ini tetap tidak aktif selama dua tahun sebelum lalu lintas DNS mereka tiba-tiba meningkat 165 kali, menunjukkan peluncuran serangan.
Tanda-tanda “telur ular”
Tanda yang jelas dari domain berbahaya adalah lonjakan mendadak dalam lalu lintasnya. Layanan yang sah yang mendaftarkan domain mereka dan meluncurkan layanan berbulan-bulan atau bertahun-tahun kemudian menunjukkan pertumbuhan lalu lintas secara bertahap.
Domain yang tidak ditakdirkan untuk penggunaan yang sah umumnya memiliki konten yang tidak lengkap, dikloning, atau umumnya dipertanyakan. Seperti yang diharapkan, rincian pendaftar WHOIS juga hilang.
Tanda lain yang jelas dari domain yang sengaja sudah tua yang dimaksudkan untuk digunakan dalam kampanye berbahaya adalah generasi subdomain DGA.
DGA (algoritma generasi domain) adalah metode yang mapan untuk menghasilkan nama domain dan alamat IP yang unik untuk berfungsi sebagai titik komunikasi C2 baru. Tujuannya adalah untuk menghindari deteksi dan blocklists.
Dengan melihat elemen DGA saja, detektor Palo Alto mengidentifikasi dua domain yang mencurigakan setiap hari, menelurkan ratusan ribu subdomain pada hari aktivasinya.
Selengkapnya: Bleepingcomputer
