Des milliers de nouveaux domaines sont enregistrés chaque jour pour que les entreprises et les particuliers puissent créer des sites Web, mais de nouvelles recherches menées par Palo Alto Networks ont révélé que les cybercriminels enregistrent souvent des domaines malveillants des années avant d'avoir l'intention de les utiliser.
L'unité 42 de la firme de cybersécurité a commencé ses recherches sur les domaines malveillants dormants après avoir appris que les acteurs de la menace à l'origine du piratage de SolarWinds en 2019 les avaient utilisés dans leur attaque. Pour identifier les domaines stratégiquement anciens et surveiller leur activité, Palo Alto Networks a lancé un détecteur basé sur le cloud en septembre 2021.
Selon les conclusions des chercheurs de l'entreprise, 22,3 % des domaines d'âge stratégique présentent une certaine forme de danger, une petite partie étant carrément malveillante (3,8 %), une majorité étant suspecte (19 %) et certains étant dangereux pour les environnements de travail (2 %).
La raison pour laquelle les cybercriminels et autres acteurs de la menace laissent un domaine vieillir est de créer un "dossier propre" afin que leur domaine soit moins susceptible d'être bloqué. En revanche, les domaines nouvellement enregistrés (NRD) sont plus susceptibles d'être malveillants et c'est pourquoi les systèmes de sécurité les signalent souvent comme suspects. Toutefois, selon Palo Alto Networks, les domaines stratégiquement âgés sont trois fois plus susceptibles d'être malveillants que les domaines nouvellement enregistrés.
Détecter les domaines malveillants en sommeil
Lorsqu'un pic soudain de trafic est détecté, il arrive souvent qu'un domaine stratégiquement âgé soit en fait malveillant. En effet, les sites Web normaux voient généralement leur trafic augmenter progressivement à partir de leur création, car de plus en plus de personnes visitent un site après l'avoir découvert par le bouche à oreille ou la publicité.
Dans le même temps, les domaines qui ne sont pas destinés à des fins légitimes ont souvent un contenu incomplet, cloné ou douteux et ne contiennent généralement pas non plus les coordonnées du titulaire du WHOIS. Un autre signe qu'un domaine a été enregistré et destiné à être utilisé ultérieurement dans des campagnes malveillantes est la génération de sous-domaines DGA.
Pour ceux qui ne le savent pas, le DGA ou algorithme de génération de domaine est une méthode utilisée pour générer des noms de domaine et des adresses IP qui serviront de points de communication de commande et de contrôle (C2) utilisés pour échapper à la détection et aux listes de blocage. En examinant simplement les sites utilisant le DGA, le détecteur basé sur le cloud de Palo Alto Networks a pu identifier deux domaines suspects par jour.
Au cours de son enquête, la firme de cybersécurité a découvert une campagne d'espionnage Pegasus qui utilisait deux domaines C2 enregistrés en 2019 et qui sont finalement devenus actifs deux ans plus tard, en juillet 2021. Les chercheurs de Palo Alto Networks ont également trouvé des campagnes de phishing qui utilisaient des sous-domaines DGA ainsi que des abus de wildcard DNS.
- Meilleurs logiciels de création de sites web : tous les outils en ligne pour lancer votre site Internet
- Meilleurs hébergeurs web 2021 : quels fournisseurs choisir pour propulser votre site Internet ?
- Meilleurs VPN gratuits : quels services télécharger en 2021 ?
