Palo Alto Networks发现, 攻击者越来越倾向于提前注册域名备用,利用这类战略性休眠域名的攻击越来越多。
例如,SolarWinds事件的攻击者在实际攻击中利用的C&C 域名,在数年前就已注册。
APT 攻击的典型特征之一是长期潜伏在高价值目标处 , 其部署的恶意软件通常会在失陷网络中保持较长的休眠状态。 网络钓鱼和黑帽 SEO
的攻击者也经常利用注册时间较长的域名,它们通常因为注册时长而获得良好信誉, 检测这种战略性休眠域名通常是更困难的。
战略性休眠域名在投入使用时会出现流量激增,基于此特征可以对该类域名进行检测。Palo Alto Networks 可通过 Passive DNS
数据中每天筛选出大约 3 万个域名,这些域名都会在某天突然获得超过平日 10 倍的流量,并且域名中恶意域名所占比例是新注册域名(NRD)中的三倍多。
图 1 2021年9月每日检测战略性休眠域名的数量
在 SolarWinds 供应链攻击中,SUNBURST 木马使用 DGA 算法窃取失陷主机的域信息。Palo Alto Networks为了发现类似的
APT 攻击,将数据中包含大量新发现 DGA 子域名的域名标记为潜在的恶意域名。这些恶意域名平均有 161 个 DGA子域名,承载了突增流量的
43.19%。以下展示几个典型的示例分析。
检测战略性休眠域名
众所周知,新注册域名被滥用的非常严重,但只关注新注册域名是远远不够的。攻击者越来越倾向于使用很久前注册的域名。
首先,注册时间更久的域名通常被认为信誉更好。其次,APT 使用的域名很有可能本就沉寂数年。
在域名休眠期间,恶意软件只向 C &C
服务器发送极其有限的“心跳”流量。只有在攻击者决定要对某些高价值目标进行后续攻击时,域名才会接收到更多流量。
例如 SolarWinds 供应链攻击中使用的 C&C 域名 avsvmcloud.com 就是在 2018 年注册的,在 2020 年 3
月开始接收大量流量前 处于休眠状态长达两年 。通过 Passvie DNS 数据可以发现,该域名的流量在投入使用后增加了大约 165 倍。
Palo Alto Networks 通过在特定时间窗口内的 DNS 流量来量化域名的活跃度。根据活跃程度将域名分为三类:休眠域名(后
75%)、标准域名(介于 75% 到 95% 之间)和活跃域名(前 5%)。