هکرها ممکن است در دید ساده در وب سایت مورد علاقه شما پنهان شده باشند

محققان امنیتی توضیح داده‌اند که چگونه سایه‌زنی دامنه برای مجرمان سایبری محبوب‌تر می‌شود.

همانطور که توسط Bleeping Computer گزارش شده است، تحلیلگران Palo Alto Networks (واحد 42) نشان دادند که چگونه در یک دوره سه ماهه (از آوریل تا ژوئن 2022) با بیش از 12000 چنین حادثه ای مواجه شده اند.

سایه زنی دامنه، شاخه ای از ربودن DNS، توانایی ایجاد زیر دامنه های مخرب را با نفوذ به دامنه های قانونی فراهم می کند. به این ترتیب، دامنه های سایه تأثیری بر دامنه والد نخواهند داشت، که طبیعتاً تشخیص آنها را دشوار می کند.

سپس مجرمان سایبری می توانند از این زیر دامنه ها برای اهداف مختلف از جمله فیشینگ، توزیع بدافزار و عملیات فرماندهی و کنترل (C2) به نفع خود استفاده کنند.

واحد 42 گفت: «ما از این نتایج نتیجه می‌گیریم که سایه‌زنی دامنه یک تهدید فعال برای شرکت است و تشخیص آن بدون استفاده از الگوریتم‌های خودکار یادگیری ماشین که می‌تواند مقادیر زیادی از گزارش‌های DNS را تجزیه و تحلیل کند، دشوار است.

هنگامی که عوامل تهدید دسترسی به دست آورد، آنها ممکن است تصمیم بگیرند که دامنه ریشه و صاحبان آن را نقض کنند و همچنین کاربران آن وب سایت را هدف قرار دهند. با این حال، آنها با جذب افراد از طریق زیر دامنه ها به موفقیت دست یافته اند، علاوه بر این که مهاجمان با تکیه بر این روش برای مدت طولانی تری ناشناخته می مانند.

با توجه به ماهیت ظریف مبهم سازی دامنه، واحد 42 اشاره کرد که چگونه تشخیص حوادث واقعی و دامنه های در معرض خطر دشوار است.

در واقع پلتفرم VirusTotal تنها 200 دامنه مخرب از 12197 دامنه ذکر شده در گزارش را شناسایی کرد. اکثر این موارد به یک کمپین فیشینگ مرتبط بود که از شبکه ای از 649 دامنه محافظت شده از طریق 16 وب سایت در معرض خطر استفاده می کرد.

کمپین فیشینگ نشان داد که چگونه زیردامنه های فوق الذکر صفحات لاگین جعلی را نمایش می دهند یا کاربران را به صفحات فیشینگ هدایت می کنند، که اساساً می تواند فیلترهای امنیتی ایمیل را دور بزند.

هنگامی که یک کاربر از زیر دامنه بازدید می کند، اعتبار حساب مایکروسافت درخواست می شود. اگرچه خود URL از یک منبع رسمی نیست، ابزارهای امنیت اینترنت قادر به تشخیص صفحه ورود قانونی و جعلی نیستند، زیرا هیچ هشداری ارائه نمی شود.

یکی از موارد مستند شده در این گزارش نشان می دهد که چگونه یک شرکت آموزشی مستقر در استرالیا تایید کرده است که برای کاربرانش هک شده است، اما آسیب قبلاً از طریق زیر دامنه ها وارد شده است. نوار پیشرفت فرآیند بازیابی در وب سایت آن نمایش داده شد.

در حال حاضر، “مدل یادگیری ماشینی با دقت بالا” واحد 42 صدها دامنه سایه ایجاد شده روزانه را شناسایی کرده است. با در نظر گرفتن این موضوع، همیشه URL هر وب‌سایتی را که از شما داده درخواست می‌کند، دوباره بررسی کنید، حتی اگر آدرس آن در یک دامنه مورد اعتماد میزبانی شده باشد.

توصیه های سردبیران