Près de 25 % des vieux noms de domaine classés malveillants, suspects, ou NSFW

Près de 25 % des vieux noms de domaine classés malveillants, suspects, ou NSFW

ceci.né.pas.un.pipe.com

Avatar de l'auteur

Jean-Marc Manach

Publié dansInternet

10/01/2022
2
Près de 25 % des vieux noms de domaine classés malveillants, suspects, ou NSFW

Ayant constaté que l'attaque SolarWinds reposait sur un centre de contrôle et de commande utilisant un vieux nom de domaine, des chercheurs ont scanné 26 000 vieux noms de domaine en septembre 2021. Près de 25 % seraient malveillants, suspects ou « not safe for work », utilisés tant pour du SEO « black hat », du phishing que des APT.

En 2019, un rapport de l'Unité42 de Palo Alto Networks révélait que plus de 70 % des noms de domaine nouvellement enregistrés étaient « malveillants », « suspects » ou « not safe for work ».

Un nouveau rapport de cette même Unité42 révèle que près d'un quart des vieux noms de domaine présentent désormais eux aussi une forme de danger : environ 3,8 % sont carrément malveillants, 19 % sont suspects et 2 % sont « not safe for work ».

Les chercheurs enquêtaient en effet sur les caractéristiques qui pourraient aider à détecter les menaces persistantes avancées (APT) génériques. Or, l'une de leurs découvertes intéressantes était que de plus en plus de centres de commande et de contrôle (C&C) utilisent des noms de domaine enregistrés des années auparavant.

Les attaquants tirent parti du fait que ces noms de domaines « stratégiquement vieillis » mettent parfois plus de temps à être identifiés comme malveillants, étant donné qu'ils ont déjà développé une certaine réputation au fil du temps.

D'autres acteurs impliqués dans des abus de réseau tels que le phishing et l'optimisation des moteurs de recherche (SEO) « black hat » peuvent également déployer des campagnes avec des domaines âgés pour bénéficier de la réputation bâtie par leur longue durée de vie, rappelle l'Unité42.

En outre, les attaquants enregistrent généralement plusieurs domaines à l'avance afin de pouvoir reprendre rapidement le service malveillant si le point d'entrée principal est bloqué.

25% de vieux noms malveillants, suspects ou « not safe for work »

L'Unité42 a commencé à s'y intéresser parce que le nom de domaine du C&C lors de l'attaque de la chaîne d'approvisionnement SolarWinds, avsvmcloud[.]com, avait été enregistré en 2018 et était resté inactif pendant deux ans avant de transporter un volume élevé de trafic d'attaque à partir de mars 2020.

Or, son trafic DNS passif avait augmenté d'environ 165 fois après le début de l'attaque. Par conséquent, souligne le rapport, « il est essentiel de continuer à surveiller les activités des domaines et à rechercher les menaces derrière les domaines âgés associées à des augmentations anormales du trafic ».

Palo Alto Networks, qui collecte des données DNS passives depuis plus de 10 ans, observe que lorsqu'un domaine commence à héberger un service légitime, son trafic augmente « généralement progressivement ».

A contrario, « il est anormal qu'un domaine reste en sommeil pendant une longue période, puis reçoive soudainement un gros volume de trafic » :

« Sur la base de cette intuition, notre système surveille en permanence le trafic des domaines dormants et capture ceux qui passent au statut hautement actif en peu de temps en tant que domaines stratégiquement âgés. »

L'analyse de 26 000 vieux noms de domaine tout au long de septembre 2021, et des pics de trafic enregistrés, les a conduits à les classer en 4 catégories, en fonction des règles de filtrage d'URL de Palo Alto Networks, et de leurs scores VirusTotal : malveillants, suspects, « not safe for work » et autres :

« Pour le groupe suspect, nous incluons les domaines classés comme parqués, douteux, à contenu insuffisant et à haut risque. La nudité, les adultes, le jeu et les sujets similaires sont étiquetés comme "not safe for work". Ceux qui n'appartiennent à aucun de ces groupes sont étiquetés comme "autres". »

3,8 % des domaines « stratégiquement âgés » présenteraient des comportements malveillants. Ce pourcentage est plus de trois fois supérieur à celui des noms de domaine nouvellement enregistrés, qui est de 1,27 %.

Unit42

Au total, 24,8 % des vieux noms de domaines analysés seraient malveillants, suspects ou « not safe for work ».

Surveiller le trafic et le type de sous-domaines

Lors de l'attaque de SolarWinds, le cheval de Troie SUNBURST contactait périodiquement son domaine C&C, avsvmcloud[.]com, pour signaler l'état des victimes et recevoir des commandes, rappelle l'Unité42.

Cependant, lorsque le domaine C&C s'est réveillé suite à la période d'incubation, la majorité des demandes DNS en rafale concernaient de nouveaux sous-domaines, générés dynamiquement via des algorithmes de génération de domaine (DGA) pour exfiltrer les données :

« Plus précisément, les sous-domaines ont été générés sous la forme DGAstring.appsync-api.region.avsvmcloud[.]com. Les chaînes DGA étaient des identités codées des victimes, contenant les noms de domaine des organisations infectées et les statuts des produits de sécurité. »

Lorsque le résolveur DNS de l'attaquant a reçu des demandes pour ces noms d'hôte, il a renvoyé des réponses CNAME pointant vers différents serveurs C&C en fonction des informations exfiltrées : « En résumé, le malware a exploité les sous-domaines DGA pour exfiltrer les données et a fourni une couche proxy pour l'infrastructure attaquante ».

Les chercheurs ont donc aussi scanné tous les sous-domaines, et étiqueté ceux qui échangeaient des requêtes DNS en rafales en tant que domaines APT C&C potentiels :

« Après, nous implémentons plusieurs filtres pour reconnaître les services légitimes en fonction d'informations supplémentaires telles que les enregistrements WHOIS et les modèles de noms d'hôtes bénins. »

En moyenne, ils ont ainsi identifié deux domaines suspects par jour.

De Pegasus à l'hameçonnage « lambda »

La campagne d'espionnage Pegasus reposait elle aussi, en partie, sur l'utilisation de deux C&C, permalinking[.]com et oppositiondarrangement[.]net, enregistrés en 2019 et qui se sont réveillés en juillet 2021 avec un pourcentage élevé de trafic DGA.

Unit42 Pegasus

S'ils enregistraient 15 requêtes DNS quotidiennes avant le 18 juillet 2021, le jour de l'activation, le trafic DNS quotidien a soudainement augmenté de 56 fois.

De plus, la campagne a utilisé plusieurs sous-domaines DGA, tels que imgdsg4f35.permalinking[.]com et php78mp9v.opposedarrangement[.]net, pour acheminer le trafic C&C.

Cette technique est également utilisée en matière d'hameçonnage (phishing) souligne le rapport :

« Par exemple, le script sur l'un des noms d'hôte de la passerelle, jcxivnmqfqoiopdlvejvgucpmrfgmhwdlrkvzqyb.ui1io[.]cn, redirige le visiteur vers un autre domaine DGA de phishing, gjahqfcyr[.]cn, lorsqu'un paramètre spécifique existe dans l'URL. Sinon, il redirige vers le site Web légitime de la banque. »

Par conséquent, ce sous-domaine DGA est une couche de dissimulation qui masque le contenu de phishing réel des visiteurs et des robots d'exploration indésirables. Notre système a observé une augmentation anormale du trafic vers les sous-domaines DGA de ui1io[.]cn le 2 octobre 2021.

Autre exemple, mailingmarketing[.]net, créé en 2020, a été identifié par leur moteur comme un « domaine stratégiquement vieilli » le 23 septembre 2021, date à laquelle il comptait 47 nouveaux sous-domaines DGA tels que uk.id.login.update.ssl.encryption-6159368de39251d7a-login.id.security.trackid.piwikb7c1867dd7ba9c57.fd685e42f1d69c71708ff549fea71274.mailingmarketing[.]net :

« Ces sous-domaines hébergeaient une fausse page d'analyse antivirus. Ils sont si longs que les victimes peuvent ne remarquer que les sections avant et penser qu'il s'agit de services de connexion chiffrés légitimes, négligeant de vérifier le domaine racine à la fin. »

Ce qui est encore plus hautement probable pour les utilisateurs de mobiles, leurs navigateurs n'affichant pas le nom de domaine complet (FQDN) dans la barre d'adresse, mais uniquement la chaîne tronquée au début.

2
Avatar de l'auteur

Écrit par Jean-Marc Manach

Tiens, en parlant de ça :

Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

Des mini datacenters… Ouais une baie quoi ?

19:03HardwareInternet 1
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

0/1

17:53IA et algorithmesSociété numérique 15

Plainte contre l’alternative paiement ou publicité comportementale de Meta

Schrems vs Meta, saison 3

17:31DroitIA et algorithmes 13

Sommaire de l'article

Introduction

25% de vieux noms malveillants, suspects ou « not safe for work »

Surveiller le trafic et le type de sous-domaines

De Pegasus à l'hameçonnage « lambda »

Mur d’OVHcloud à Roubaix, avec le logo OVHcloud

OVHcloud Summit 2023 : SecNumCloud, IA et Local Zones

HardwareInternet 1
algorithmes de la CAF

Transparence, discriminations : les questions soulevées par l’algorithme de la CAF

IA et algorithmesSociété numérique 15

Plainte contre l’alternative paiement ou publicité comportementale de Meta

DroitIA et algorithmes 13
Nuage (pour le cloud) avec de la foudre

Économie de la donnée et services de cloud : l’Arcep renforce ses troupes

DroitInternet 0
De vieux ciseaux posés sur une surface en bois

Plus de 60 % des demandes de suppression reçues par Google émanent de Russie

Société numérique 4
Une vieille boussole posée sur un plan en bois

La Commission européenne et Google proposent deux bases de données de fact-checks

DroitInternet 2

#LeBrief : des fichiers Google Drive disparaissent, FreeBSD 14, caméras camouflées, OnePlus 12

0

Le poing Dev – round 6

Next 138

Produits dangereux sur le web : nouvelles obligations en vue pour les marketplaces

Droit 6
consommation de l'ia

Usages et frugalité : quelle place pour les IA dans la société de demain ?

IA et algorithmes 12

La NASA établit une liaison laser à 16 millions de km, les essais continuent

Sciences et espace 17
Concept de CPU

Semi-conducteurs : un important accord entre l’Europe et l’Inde

Hardware 6

#LeBrief : PS5 Slim en France, Valeo porte plainte contre NVIDIA, pertes publicitaires X/Twitter

0
Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

651e édition des LIDD : Liens Intelligents Du Dimanche

Internet 30
Bannière de Flock avec des bomes sur un fond rouge

#Flock, le grand remplacement par les intelligences artificielles

Flock 34
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #9 : LeBrief 2.0, ligne édito, dossiers de fond

Next 63
Pilule rouge et bleue avec des messages codés

Encapsulation de clés et chiffrement d’enveloppes

Sécurité 31
Empreinte digital sur une capteur

Empreintes digitales : les capteurs Windows Hello loin d’être exemplaires

Sécurité 20

#LeBrief : succès du test d’Ariane 6, réparer plutôt que remplacer, Broadcom finalise le rachat de VMware

0

Hébergeurs, éditeurs, espaces de conversation ? La difficile régulation des réseaux sociaux

Réseaux sociauxSociété numérique 23
Puces en silicium

Silicium : un matériau indispensable et omniprésent, mais critique

HardwareSciences et espace 25
Panneau solaire bi-face Sunology Play

Panneaux solaires en autoconsommation : on décortique le kit Play de Sunology

Hardware 26
The eyes and ears of the army, Fort Dix, N.J.

Un think tank propose d’autoriser les opérations de « hack back »

Sécurité 12

#LeBrief : Ariane 6 sur le banc de test, arrestation algorithmique, entraînement d’IA par des mineurs

0
Illustration Back to the future Job

OpenAI : récit d’une semaine de folie

IA et algorithmesSociété numérique 41
Drapeaux de l’Union européenne

AI Act : la France, l’Allemagne et l’Italie ne veulent pas réguler les modèles « de fondation »

DroitIA et algorithmes 4
Disques durs Western Digital Ultrastar DC HC680 de 26 à 28 To

Western Digital : scission en 2024, des HDD 24 To CMR et 28 To SMR dès maintenant

Hardware 14

#LeBrief : Firefox 120, SoC Dimensity 8300, amendes des géants du Net

0
Smartphone OnePlus 12

Le OnePlus 12 sera présenté le 5 décembre

Hardware 33

Logo de Google sur un ordinateur portable

Des fichiers disparaissent mystérieusement de certains comptes Google Drive

Logiciel 17

Devanture du magasin de la Samaritaine

À la Samaritaine, des caméras camouflées en détecteurs de fumée

Droit 14

Rachat d’iRobot : la Commission détaille ses craintes à Amazon

Droit 11

Logo de FreeBSD sur fond rouge

FreeBSD 14 disponible en version finale

Logiciel 3

Commentaires (2)


bansan Abonné
Il y a 2 ans

J’avoue qu’il y a de vrais efforts dans certains phishing. Très original l’URL avec les sous-domaines à rallonge avec pleins de mot clé qui semblent légitimes (ssl encryption, piwik, trackid, etc…). Ca ressemble effectivement beaucoup aux URL de mailing list.


boogieplayer
Il y a 2 ans

Il faut absolument ques les éditeurs de navigateur fasse un effort pour rendre les FQDN lisibles sur les mobiles.