来源:本文源自cybersecuritynews,由ZDNS进行翻译 原文链接:https://cybersecuritynews.com/# 关键词:域名安全 网络钓鱼
前言 随着数字威胁日益复杂化和恶意行为者的不断演变,网络安全研究人员的角色变得至关重要。在这篇文章中,我们聚焦于DNS(Domain Name System)前沿,研究人员通过分析DNS记录揭示了一系列威胁性的恶意积压域名,这些域名被威胁行为者用于未来的多种恶意活动。 最近,研究人员追踪了恶意积压的域名,这些域名是威胁行为者预先获取的,用于未来的多种恶意活动,包括: 尽管这些域名通常最初被保持未使用以躲避检测,但后来在需要时由威胁行为者激活,以进行: 最近,Palo Alto Networks的Unit 42的网络安全研究人员在分析DNS记录时追踪了这些恶意积压的域名。 恶意积压的域名是通过攻击者自动化在各种数据源中留下的痕迹,这些痕迹可以被安全防御者在诸如证书透明日志和被动DNS(pDNS)等位置检测到。研究人员使用信息位来创建一个积压域名检测器,具有更广泛的恶意域名覆盖范围和早期检测的优势。 此外,他们利用了300多个特征来处理包括数千亿pDNS和证书记录在内的大量数据。对恶意和良性域名的庞大知识库有助于以下关键方面: 为了检测积压的域名,研究人员收集了以下六类特征:
Unit 42的检测器在一个重定向活动中检测到了9000多个恶意域名。 这一检测率显示了该检测器的先进能力,超过了VirusTotal的31.7%检测率。Unit 42在平均32.3天之前检测到了它们。 尽管Cloudflare使用pDNS ID 使pDNS ID复杂化,但研究人员通过共享特征追踪了随机域名生成。在该活动中,受害者被重定向到广告软件或欺诈页面,显示:
据Palo Alto的一份报告称,在意大利和德国发现了一次针对用户的网络钓鱼活动。检测器在该活动中找到了相关域名。此外,还有另一次冒充USPS的活动。在这种情况下,于2023年6月17日至8月28日之间使用了超过30个域名。报告指出,这些域名是在四个证书下注册和认证的。 域名的聚合和同步创建表明存在自动化的威胁行为者参与。一次活动使用了17个以上的域名,专注于高收益投资诈骗,使用了共同特征,如: 然而,所有受害者都被承诺轻松获得金钱,通过页面和复选框进行确认钓鱼。 威胁行为者积极地在域名战争中自动化他们的设置,但是,大规模注册留下了许多可检测的痕迹。然而,成功仍然依赖于防御者合并数据集来揭示恶意活动。 结语
在网络安全的前线,持续不断的威胁演变着,要求我们的反制手段也必须保持同步。本文所呈现的关于DNS前沿的研究,突显了研究人员在揭示恶意积压域名方面的卓越工作。通过深入分析DNS记录,他们不仅成功追踪了威胁行为者的活动,还提供了有力的工具和洞见,帮助网络安全专业人员更好地应对未来的数字威胁。
在数字时代,保护网络生态系统的安全需要全球范围内的协作和信息共享。通过不懈努力,我们能够更好地理解并对抗恶意行为,为一个更安全的网络环境奠定基础。希望这篇文章为读者提供了启示,激发了对网络安全的关注,并促使更多人投身于这一挑战性而又迫切的领域。
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/35700.html
