ТЕХНІЧНИЙ ОПИС

Зловмисники можуть придбати домени, які можуть бути використані під час вибору цілі. Доменні імена — це зручні для читання людиною назви, що представляють одну або декілька IP-адрес. Їх можна купити або, у деяких випадках, отримати безкоштовно.

Зловмисники можуть використовувати придбані домени для різних цілей, зокрема для фішингу, компрометації типу Drive-by та управління і контролю (C2). Зловмисники можуть обирати домени, схожі на легітимні, зокрема шляхом використання омографів або іншого домену верхнього рівня (TLD). Тайпосквотинг (використання помилок у написанні) може бути використаний для доставки шкідливого навантаження через Drive-by атаки. Зловмисники також можуть використовувати інтернаціоналізовані доменні імена (IDN) та різні набори символів (наприклад, кирилицю, грецьку тощо) для виконання «IDN-омографічних атак», створюючи візуально ідентичні домени-двійники для доставки шкідливого ПЗ на машини жертв.

Різні URI/URL-адреси також можуть генеруватися динамічно (зокрема одноразові домени) для унікальної доставки шкідливого контенту жертвам.

Зловмисники також можуть купувати та перепрофілювати прострочені домени (expired domains), які вже можуть бути у «білих списках» або мати довіру з боку захисників завдяки існуючій репутації чи історії.

Кожен реєстратор доменів підтримує публічну базу даних (WHOIS), що відображає контактну інформацію власників. Приватні сервіси WHOIS відображають альтернативну інформацію (дані компанії-посередника) замість даних власника. Зловмисники можуть використовувати такі сервіси, щоб приховати інформацію про те, хто насправді володіє доменом. Також вони можуть заважати зусиллям з відстеження їхньої інфраструктури, використовуючи різні реєстраційні дані та купуючи домени у різних реєстраторів.

На додаток до легітимної купівлі, зловмисник може зареєструвати новий домен у скомпрометованому середовищі. Наприклад, в середовищах AWS зловмисники можуть використовувати сервіс Route53 для реєстрації домену та створення розміщених зон, що вказують на ресурси за вибором хакера.

Анатомія доменної атаки Придбання домену — це фундамент, на якому будується вся подальша активність. Для захисника важливо розуміти три головні стратегії хакерів:

Візуальна мімікрія (Homograph & Typosquatting):

  • Тайпосквотинг: g0ogle.com або googIe.com (з великою ‘i’ замість ‘l’).
  • Омографи: Використання символів а, е, о, р, с, х, які в кирилиці та латині виглядають однаково. Браузер інтерпретує їх через Punycode (наприклад, xn—…), але користувач бачить звичне ім’я.

Використання репутації (Expired Domains):

  • Хакер знаходить домен, який раніше належав реальному бізнесу, мав багато посилань та високий рейтинг у Google. Антивіруси та вебфільтри часто вважають такі домени «безпечними» за інерцією, що дозволяє зловмиснику обходити системи контентної фільтрації.

Приховування слідів:

  • Використання криптовалют для оплати та анонімних WHOIS-сервісів робить неможливим зв’язок між різними доменами однієї групи (Campaign Linking) на основі даних власника.

Як захиститися?

  • Реєстрація захисних доменів (Defensive Registration): Великим компаніям варто заздалегідь викупити найбільш очевидні тайпосквотинг-варіанти свого бренду.
  • Моніторинг нових доменів: Використовуйте сервіси (наприклад, DNSTwister), які відстежують реєстрацію доменів, схожих на ваш, і сповіщають про це ваш відділ безпеки.
  • Аналіз віку домену: Налаштуйте поштові та вебфільтри так, щоб вони з підозрою ставилися до доменів, зареєстрованих менше ніж 30 днів тому. Це заблокує більшість «свіжих» фішингових атак.
  • Punycode Alert: Сучасні браузери зазвичай попереджають про змішані набори символів, але важливо навчити співробітників звертати увагу на дивні префікси xn— у рядку адреси.