Le nombre de domaines dormants malveillants est en augmentation et, comme le préviennent les chercheurs, environ 22,3 % des domaines stratégiquement vieillis présentent une forme de danger.
C’est une prise de conscience qui a frappé les analystes lorsqu’il a été révélé que les acteurs de la menace SolarWinds s’appuyaient sur des domaines enregistrés des années avant le début de leurs activités malveillantes.
Sur cette base, les efforts visant à détecter les domaines stratégiquement âgés avant qu’ils n’aient la possibilité de lancer des attaques et de prendre en charge des activités malveillantes se sont accélérés.
Un rapport de l’Unité42 de Palo Alto Networks révèle les conclusions de leurs chercheurs après avoir examiné des dizaines de milliers de domaines chaque jour en septembre 2021.
Ils ont conclu qu’environ 3,8 % sont carrément malveillants, 19 % sont suspects et 2 % sont dangereux pour les environnements de travail.
Source : Unité42
Pourquoi laisser vieillir un domaine
L’objectif de l’enregistrement d’un domaine bien avant que les acteurs malveillants ne l’utilisent est de créer un « enregistrement vierge » qui empêchera les systèmes de détection de sécurité de compromettre le succès des campagnes malveillantes.
En règle générale, les domaines nouvellement enregistrés (NRD) sont plus susceptibles d’être malveillants, de sorte que les solutions de sécurité les traitent comme suspects et ont plus de chances de les signaler.
Cependant, Unit42 explique dans son rapport que les domaines stratégiquement âgés sont trois fois plus susceptibles d’être malveillants que les NRD.
Dans certains cas, ces domaines sont restés inactifs pendant deux ans avant que leur trafic DNS ne soit soudainement multiplié par 165, indiquant le lancement d’une attaque.
Signes « œufs de serpent »
Un signe évident d’un domaine malveillant est le pic soudain de son trafic. Les services légitimes qui ont enregistré leurs domaines et lancé des services des mois ou des années plus tard affichent une croissance progressive du trafic.
Les domaines qui n’étaient pas destinés à un usage légitime ont généralement un contenu incomplet, cloné ou généralement douteux. Comme prévu, les détails du titulaire du WHOIS sont également manquants.
Source : Unité42
Un autre signe clair d’un domaine délibérément vieilli qui est destiné à être utilisé dans des campagnes malveillantes est la génération de sous-domaines DGA.
DGA (algorithme de génération de domaine) est une méthode établie de génération de noms de domaine et d’adresses IP uniques pour servir de nouveaux points de communication C2. L’objectif est d’échapper à la détection et aux listes de blocage.
En examinant uniquement l’élément DGA, les détecteurs de Palo Alto ont identifié deux domaines suspects chaque jour, engendrant des centaines de milliers de sous-domaines le jour de son activation.
Exemples réels
Un cas notable capturé par Unit42 en septembre était une campagne d’espionnage Pegasus qui a utilisé deux domaines C2 enregistrés en 2019 et s’est réveillé en juillet 2021.
Les domaines DGA ont joué un rôle essentiel dans cette campagne, transportant 23,22 % du trafic le jour de l’activation, soit un pic 56 fois supérieur aux volumes de trafic DNS normaux. Quelques jours plus tard, le trafic DGA atteint 42,04 % du total.
Source : Unité42
D’autres exemples concrets détectés par les chercheurs incluent des campagnes de phishing qui utilisaient des sous-domaines DGA comme couches de dissimulation qui dirigeraient les visiteurs et les robots d’exploration non éligibles vers des sites légitimes tout en poussant les victimes vers les pages de phishing.
Cela montre que ces DGA servent non seulement de domaines C2, mais aussi de couches proxy qui peuvent être explicitement configurées en fonction des besoins de la campagne.
Enfin, il y avait aussi des cas d’abus DNS génériques, avec plusieurs sous-domaines pointant tous vers la même adresse IP.
« Ces noms d’hôtes servent des sites Web générés de manière aléatoire qui remplissent certains modèles de sites Web avec des chaînes aléatoires », détaille le Rapport Unit42.
« Ils pourraient être utilisés pour le référencement black hat. Plus précisément, ces pages Web sont liées les unes aux autres pour obtenir un classement élevé des robots des moteurs de recherche sans fournir d’informations précieuses.
Dans la plupart des cas, les domaines stratégiquement âgés sont utilisés par des acteurs sophistiqués qui opèrent dans un contexte plus organisé et ont des plans à long terme.
Ils sont utilisés pour tirer parti de la DGA pour exfiltrer des données via le trafic DNS, servir de couches proxy ou imiter les domaines de marques bien connues (cybersquatting).
Bien que la détection de l’activité de la DGA soit toujours difficile, les défenseurs peuvent faire beaucoup en surveillant les données DNS telles que les requêtes, les réponses et les adresses IP et en se concentrant sur l’identification des modèles.