Ayant constaté que l'attaque SolarWinds reposait sur un centre de contrôle et de commande utilisant un vieux nom de domaine, des chercheurs ont scanné 26 000 vieux noms de domaine en septembre 2021. Près de 25 % seraient malveillants, suspects ou « not safe for work », utilisés tant pour du SEO « black hat », du phishing que des APT.

En 2019, un rapport de l'Unité42 de Palo Alto Networks révélait que plus de 70 % des noms de domaine nouvellement enregistrés étaient « malveillants », « suspects » ou « not safe for work ».

Un nouveau rapport de cette même Unité42 révèle que près d'un quart des vieux noms de domaine présentent désormais eux aussi une forme de danger : environ 3,8 % sont carrément malveillants, 19 % sont suspects et 2 % sont « not safe for work ».

Les chercheurs enquêtaient en effet sur les caractéristiques qui pourraient aider à détecter les menaces persistantes avancées (APT) génériques. Or, l'une de leurs découvertes intéressantes était que de plus en plus de centres de commande et de contrôle (C&C) utilisent des noms de domaine enregistrés des années auparavant.

Les attaquants tirent parti du fait que ces noms de domaines « stratégiquement vieillis » mettent parfois plus de temps à être identifiés comme malveillants, étant donné qu'ils ont déjà développé une certaine réputation au fil du temps.

D'autres acteurs impliqués dans des abus de réseau tels que le phishing et l'optimisation des moteurs de recherche (SEO) « black hat » peuvent également déployer des campagnes avec des domaines âgés pour bénéficier de la réputation bâtie par leur longue durée de vie, rappelle l'Unité42.

• Hameçonnage : de plus en plus de sites s'attaquent aussi à la double authentification

En outre, les attaquants enregistrent généralement plusieurs domaines à l'avance afin de pouvoir reprendre rapidement le service malveillant si le point d'entrée principal est bloqué.

25% de vieux noms malveillants, suspects ou « not safe for work »

L'Unité42 a commencé à s'y intéresser parce que le nom de domaine du C&C lors de l'attaque de la chaîne d'approvisionnement SolarWinds, avsvmcloud[.]com, avait été enregistré en 2018 et était resté inactif pendant deux ans avant de transporter un volume élevé de trafic d'attaque à partir de mars 2020.

Or, son trafic DNS passif avait augmenté d'environ 165 fois après le début de l'attaque. Par conséquent, souligne le rapport, « il est essentiel de continuer à surveiller les activités des domaines et à rechercher les menaces derrière les domaines âgés associées à des augmentations anormales du trafic ».

Palo Alto Networks, qui collecte des données DNS passives depuis plus de 10 ans, observe que lorsqu'un domaine commence à héberger un service légitime, son trafic augmente « généralement progressivement ».

A contrario, « il est anormal qu'un domaine reste en sommeil pendant une longue période, puis reçoive soudainement un gros volume de trafic » :

« Sur la base de cette intuition, notre système surveille en permanence le trafic des domaines dormants et capture ceux qui passent au statut hautement actif en peu de temps en tant que domaines stratégiquement âgés. »

L'analyse de 26 000 vieux noms de domaine tout au long de septembre 2021, et des pics de trafic enregistrés, les a conduits à les classer en 4 catégories, en fonction des règles de filtrage d'URL de Palo Alto Networks, et de leurs scores VirusTotal : malveillants, suspects, « not safe for work » et autres :

« Pour le groupe suspect, nous incluons les domaines classés comme parqués, douteux, à contenu insuffisant et à haut risque. La nudité, les adultes, le jeu et les sujets similaires sont étiquetés comme "not safe for work". Ceux qui n'appartiennent à aucun de ces groupes sont étiquetés comme "autres". »

3,8 % des domaines « stratégiquement âgés » présenteraient des comportements malveillants. Ce pourcentage est plus de trois fois supérieur à celui des noms de domaine nouvellement enregistrés, qui est de 1,27 %.

Au total, 24,8 % des vieux noms de domaines analysés seraient malveillants, suspects ou « not safe for work ».

Surveiller le trafic et le type de sous-domaines

Lors de l'attaque de SolarWinds, le cheval de Troie SUNBURST contactait périodiquement son domaine C&C, avsvmcloud[.]com, pour signaler l'état des victimes et recevoir des commandes, rappelle l'Unité42.

Cependant, lorsque le domaine C&C s'est réveillé suite à la période d'incubation, la majorité des demandes DNS en rafale concernaient de nouveaux sous-domaines, générés dynamiquement via des algorithmes de génération de domaine (DGA) pour exfiltrer les données :

« Plus précisément, les sous-domaines ont été générés sous la forme DGAstring.appsync-api.region.avsvmcloud[.]com. Les chaînes DGA étaient des identités codées des victimes, contenant les noms de domaine des organisations infectées et les statuts des produits de sécurité. »

Lorsque le résolveur DNS de l'attaquant a reçu des demandes pour ces noms d'hôte, il a renvoyé des réponses CNAME pointant vers différents serveurs C&C en fonction des informations exfiltrées : « En résumé, le malware a exploité les sous-domaines DGA pour exfiltrer les données et a fourni une couche proxy pour l'infrastructure attaquante ».

Les chercheurs ont donc aussi scanné tous les sous-domaines, et étiqueté ceux qui échangeaient des requêtes DNS en rafales en tant que domaines APT C&C potentiels :

« Après, nous implémentons plusieurs filtres pour reconnaître les services légitimes en fonction d'informations supplémentaires telles que les enregistrements WHOIS et les modèles de noms d'hôtes bénins. »

En moyenne, ils ont ainsi identifié deux domaines suspects par jour.

De Pegasus à l'hameçonnage « lambda »

La campagne d'espionnage Pegasus reposait elle aussi, en partie, sur l'utilisation de deux C&C, permalinking[.]com et oppositiondarrangement[.]net, enregistrés en 2019 et qui se sont réveillés en juillet 2021 avec un pourcentage élevé de trafic DGA.

S'ils enregistraient 15 requêtes DNS quotidiennes avant le 18 juillet 2021, le jour de l'activation, le trafic DNS quotidien a soudainement augmenté de 56 fois.

De plus, la campagne a utilisé plusieurs sous-domaines DGA, tels que imgdsg4f35.permalinking[.]com et php78mp9v.opposedarrangement[.]net, pour acheminer le trafic C&C.

Cette technique est également utilisée en matière d'hameçonnage (phishing) souligne le rapport :

« Par exemple, le script sur l'un des noms d'hôte de la passerelle, jcxivnmqfqoiopdlvejvgucpmrfgmhwdlrkvzqyb.ui1io[.]cn, redirige le visiteur vers un autre domaine DGA de phishing, gjahqfcyr[.]cn, lorsqu'un paramètre spécifique existe dans l'URL. Sinon, il redirige vers le site Web légitime de la banque. »

Par conséquent, ce sous-domaine DGA est une couche de dissimulation qui masque le contenu de phishing réel des visiteurs et des robots d'exploration indésirables. Notre système a observé une augmentation anormale du trafic vers les sous-domaines DGA de ui1io[.]cn le 2 octobre 2021.

Autre exemple, mailingmarketing[.]net, créé en 2020, a été identifié par leur moteur comme un « domaine stratégiquement vieilli » le 23 septembre 2021, date à laquelle il comptait 47 nouveaux sous-domaines DGA tels que uk.id.login.update.ssl.encryption-6159368de39251d7a-login.id.security.trackid.piwikb7c1867dd7ba9c57.fd685e42f1d69c71708ff549fea71274.mailingmarketing[.]net :

« Ces sous-domaines hébergeaient une fausse page d'analyse antivirus. Ils sont si longs que les victimes peuvent ne remarquer que les sections avant et penser qu'il s'agit de services de connexion chiffrés légitimes, négligeant de vérifier le domaine racine à la fin.  »

Ce qui est encore plus hautement probable pour les utilisateurs de mobiles, leurs navigateurs n'affichant pas le nom de domaine complet (FQDN) dans la barre d'adresse, mais uniquement la chaîne tronquée au début.