پس از بررسی روزانه ده ها هزار دامنه، گزارشی توسط Palo Alto Networks Unit42 در سپتامبر 2021 انتشار داده شد. آنها به این نتیجه رسیدند که تقریبا 3/8 درصد از دامنه ها مخرب مستقیم، 19 درصد مشکوک و 2 درصد برای محیط های کاری ناامن هستند. هدف از ثبت دامنه قبل از اینکه عوامل تهدید از آن استفاده کنند، ایجاد یک " سابقه پاک " است تا از تشخیص آن توسط سیستم های امنیتی جلوگیری کنند.
معمولا دامنه های جدید احتمال بیشتری برای مخرب بودن دارند، بنابراین سیستم های امنیتی آنها را مشکوک تلقی می کنند. با این حال Unit42 در گزارش خود توضیح می دهد که دامنه های قدیمی سه برابر بیشتر از دامنه های جدید مخرب هستند. در بعضی از موارد این دامنه ها به مدت دو سال غیرفعال هستند تا اینکه ترافیک DNS آنها بطور ناگهانی تا 165 برابر افزایش خواهد یافت که نشان دهنده راه اندازی یک حمله است.
نشانه های آشکار یک دامنه مخرب افزایش ناگهانی ترافیک آن است. سرویس های قانونی که دامنه خود را ثبت کرده و خدمات خود را ماه ها و یا سالهاست که ارائه می دهند ترافیک آنها بصورت تدریجی رشد خواهد یافت. دامنه هایی که برای استفاده قانونی تعیین نشده اند، عموما دارای محتوای ناقص، شبیه سازی شده و یا بطور کلی مشکوک هستند، همانطور که انتظار میرفت مشخصات ثبت نام کننده نیز در آنها ثبت نمی شود.
یکی دیگر از نشانه های واضح دامنه های قدیمی که بطور هدفمند در کمپین های مخرب استفاده می شوند، تولید زیر دامنه DNS است. DGA(الگوریتم تولید دامنه) یک روش برای تولید نام های دامنه منحصر به فرد است تا از شناسایی دامنه جلوگیری کند.
نمونه های واقعی:
Palo Alto Networks Unit42 هر روز دو دامنه مشکوک را شناسایی کرد که صدها
هزار زیر دامنه را در روز ایجاد کرده اند. یکی از موارد قابل توجهی که توسط
Unit42 در ماه سپتامبر شناسایی شده بود، کمپین جاسوسی Pegasus است که از
دو دامنه که در سال 2019 ثبت شده استفاده می کرده است لازم به ذکر است این
دامنه ها در ژوئیه 2021 شروع به فعالیت داشته اند.
دامنه DGA نقش حیاتی در آن کمپین ایفا کرده است بطوریکه 23/22 درصد ترافیک روز فعالسازی را در اختیار داشت که 56 برابر بیشتر از حجم ترافیک عادی DNS بود. چند روز بعد ترافیک DGA به 42/04 درصد رسید. سایر نمونه های واقعی که توسط محققان شناسایی شده اند شامل کمپین های فیشینگ است که در آن از زیر دامنه های DGA به عنوان لایه های پنهان استفاده شده است، بازدیدکنندگان فاقد شرایط را به سمت سایت های قانونی هدایت می کنند و در عین حال قربانیان را به سمت صفحات فیشینگ سوق می دهند.
این نشان می دهد که DGAها نه تنها به عنوان تولید کننده دامنه بلکه به عنوان لایه های پروکسی نیز عمل می کنند و به صراحت برای نیازهای کمپین پیکربندی می شوند. در بیشتر موارد دامنه های قدیمی تر توسط عوامل تهدید کننده قوی و پیچیده استفاده می شوند که در یک زمینه سازمان یافته تر عمل می کنند و برنامه بلند مدتی دارند. اگرچه شناسایی فعالیت های DGA چالش برانگیز است اما سیستم های امنیتی می توانند با نظارت بر داده های DNS مانند پرس و جوها، پاسخ ها و آدرس های IP به اطلاعات زیادی دست یابند.
