Каждый пятый устаревший домен является небезопасным

[душман]

Число вредоносных неактивных доменов постепенно растет. Как предупреждают исследователи из подразделения Unit42 компании Palo Alto Networks, примерно 22,3% устаревших доменов представляют собой ту или иную форму опасности.

Примерно 3,8% ресурсов являются явно вредоносными, 19% — подозрительными, а 2% — небезопасными для рабочей среды. Цель регистрации домена задолго до того, как злоумышленники будут использовать его в атаках, заключается в создании «чистой записи», которая не позволит защитным системам подорвать успех вредоносных кампаний. 

Как правило, недавно зарегистрированные домены с большей вероятностью могут быть вредоносными, поэтому решения по обеспечению безопасности рассматривают их как подозрительные и имеют больше шансов пометить их.

Однако более старые домены могут быть еще опаснее. В некоторых случаях эти домены оставались бездействующими в течение двух лет, прежде чем их DNS-трафик внезапно увеличивался в 165 раз, указывая на начало атаки. Очевидным признаком наличия вредоносного домена является внезапный всплеск его трафика. 

Легальные сервисы, которые зарегистрировали свои домены и запустили сервисы спустя месяцы или годы, демонстрируют постепенный рост трафика. Домены, не предназначенные для законного использования, обычно имеют неполное, клонированное или сомнительное содержание.

Еще одним явным признаком намеренно устаревшего домена, предназначенного для использования во вредоносных кампаниях, является создание поддоменов с помощью алгоритмов генерации доменных имен (domain generation algorithm, DGA).

DGA — устоявшийся метод генерации уникальных доменных имен и IP-адресов для использования в качестве новых точек связи с командным центром. Анализируя только элемент DGA, эксперты каждый день выявляли два подозрительных домена, порождавших сотни тысяч поддоменов в день его активации.