TTL OSINT

Невозможно спрятаться: Обнаружение новых кампаний с помощью ежедневного обнаружения туннелей

В статье обсуждается обнаружение четырех ранее нераскрытых кампаний туннелирования DNS с помощью новой системы мониторинга кампаний. Туннелирование DNS - это метод, используемый злоумышленниками для кодирования данных, не относящихся к DNS-трафику, в рамках пакетного трафика DNS, что позволяет им обходить традиционные сетевые брандмауэры и устанавливать скрытые каналы связи для утечки данных. Новая система мониторинга кампаний, которая является частью расширенной службы безопасности DNS Palo Alto Networks, предназначена для обнаружения туннелирующих доменов на основе методов и атрибутов, обычно используемых в вредоносных кампаниях. Анализируя взаимосвязи между туннельными доменами, система может выявлять новые кампании, как это было в случае с четырьмя кампаниями, рассмотренными в статье. Эти кампании имеют общие атрибуты, такие как инфраструктура, полезная нагрузка, регистрация домена или целевые жертвы. Система использует методы машинного обучения для изучения потенциальных новых кампаний среди обнаруженных туннелирующих доменов, предоставляя подробные тематические исследования кампании FinHealthXDS, которая использует настроенный формат DNS-маяков для коммуникаций Cobalt Strike C2 и нацелена на финансовую отрасль и здравоохранение.

Ссылка: https://unit42.paloaltonetworks.com/detecting-dns-tunneling-campaigns/

Примеры признаков компромисса:

• https://unit42.paloaltonetworks.com/detecting-dns-tunneling-campaigns/
• unit42.paloaltonetworks.com
• ns1.v.mponiem.site
• ns5.ns2000wip.com
• mouvobo.site

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал