Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Juanita Villegas

Buceo en el contenedor de Dominios

Escrito por: Jaeson Schultz.


Bucear en el contenedor (buscar en la basura en busca de artículos de valor) ha sido durante mucho tiempo un elemento básico de la cultura de la piratería. En la película de 1995 "Hackers", se ve a Acid Burn y Crash Override buscando información que puedan usar para ayudarlos a "piratear la Gibson". Por supuesto, no toda la basura es basura física ubicada en un contenedor de basura detrás de un edificio de oficinas. Alguna basura es virtual. Al igual que las pistas físicas reales que se pueden encontrar dentro de un contenedor de basura, algunas piezas de basura digital no son menos útiles / valiosas / interesantes. Pero, ¿qué tipo de artefactos digitales descarta la gente y cuáles son las implicaciones de que esta información caiga en las manos "equivocadas"?


Dedico mucho tiempo a buscar de forma proactiva fuentes de correo electrónico malicioso y a pensar en nuevas formas de encontrar más. Al encontrar más correos electrónicos maliciosos, Cisco Talos puede ajustar mejor nuestros productos para protegerlos contra los últimos ataques de correo electrónico.


Por lo general, cuando se trata de encontrar nuevas fuentes de correo malicioso, a menudo es más fácil buscar ubicaciones donde ya fluyen mensajes ilegítimos y acceder a esos lugares. Algunas de las mejores fuentes de basura de correo electrónico se encuentran dentro de los nombres de dominio que alguna vez existieron pero que han expirado. Es útil si estos dominios pertenecían anteriormente a organizaciones que tienen una exposición significativa en Internet (por ejemplo, envío de correo electrónico, prestación de servicios digitales, alojamiento de contenido, etc.). Si bien los nombres de dominio vencidos pueden ser excelentes fuentes de datos de ataques por correo electrónico, en ocasiones, estos nombres de dominio antiguos aún reciben tráfico legítimo. Y así, en nuestra búsqueda interminable de la "basura" virtual de Internet, a veces encontramos "tesoros" interesantes. O como dice el viejo adagio, "la basura de un hombre es el tesoro de otro".


ERROR BANCARIO A TU FAVOR


Los dominios caducados que alguna vez pertenecieron a proveedores de servicios financieros son interesantes porque pueden ser un imán para el tráfico malicioso. Mientras buscaba en un contenedor de basura de dominios, Talos se encontró con un nombre de dominio que alguna vez perteneció a un banco en Massachusetts, "chartbank.net". Según nuestra investigación, el banco se vendió y, posteriormente, el nombre de dominio del banco original se dejó expirar.


Este dominio bancario se puede encontrar entre listas antiguas de instituciones financieras., las direcciones de correo electrónico del dominio todavía existen en las bases de datos de contactos de los usuarios y los mensajes de los usuarios del dominio del banco todavía se pueden encontrar en los archivos de correo electrónico. Dado que el dominio es parte de la industria financiera, a menudo es el objetivo de atacantes que buscan comprometer las redes y los datos financieros. Sin embargo, este tipo de dominios también pueden recibir tráfico muy interesante de fuentes legítimas.


Por ejemplo, aquí hay un correo electrónico de una lista de correo del Banco de la Reserva Federal.


El dominio también sigue recibiendo correos electrónicos de usuarios y organizaciones que eran contactos de los empleados del banco.


UNA RED PUBLICITARIA DE MUERTOS VIVIENTES


Algunos dominios continúan recibiendo una cantidad decente de tráfico de Internet a pesar de que el registro en el dominio ha expirado hace mucho tiempo. Durante una de nuestras sesiones de búsqueda de contenedores de dominios, encontramos un nombre de dominio, "u-ad.info", que anteriormente se usaba para publicar anuncios para una red publicitaria llamada UAds. De hecho, en septiembre de 2020 , la página web de UAds todavía mostraba el siguiente texto:


"Para aquellos que tienen sitios web y quieren monetizar fácilmente, pueden registrar sus sitios web en u-ad.info GRATIS. Cree su espacio de anuncios en su propio sitio web, adjunte nuestros scripts y ya está. Los anuncios se mostrarán aleatoriamente [sic] en sus sitios web de acuerdo [con] el perfil de su sitio web, la audiencia del sitio web y la clasificación del sitio web. Siempre que un visitante haga clic o vea los anuncios, recibirá sus puntos U-Ad que puede canjear [en] cualquier hora."


Cuando buscamos rastros de este dominio, se hizo evidente que todo un ISP estaba reescribiendo el tráfico web de sus usuarios para inyectar anuncios.de esta red publicitaria. Talos volvió a registrar este dominio y pusimos un servidor web para registrar las solicitudes que recibimos. En menos de dos semanas, recibimos más de 1,1 millones de solicitudes de anuncios de 236,776 direcciones IP únicas.


Los atacantes suelen trabajar muy duro para introducir código malicioso en las páginas web en primer lugar, por lo que si este dominio hubiera caído en las manos equivocadas, alguien con malas intenciones podría haber llevado a cabo ataques importantes.


TECLADO SMASH!


Algunas personas simplemente inventarán cualquier dato para completar un campo de formulario en línea, y si no se siente especialmente creativo, la buena técnica de aplastar el teclado puede producir un montón de caracteres muy rápidamente. Tener muchos caracteres adyacentes en un teclado puede ser un indicio de que el usuario ha elegido la técnica de "rotura de teclado". Ocasionalmente, las personas harán esto cuando prueben nuevas funciones de un sitio web o cuando se registren en un sitio donde el usuario no quiere revelar su verdadera identidad.


Talos registró un dominio de combinación de claves no registrado que habíamos visto que tenía un volumen decente de tráfico de DNS: adasdad.com. Cuando activamos el correo electrónico para este dominio, algunos de los contenidos nos sorprendieron.


Un mensaje de correo electrónico que recibimos estaba relacionado con un nuevo sitio de WordPress que se creó para un restaurante. Quien instaló este sitio de WordPress eligió la dirección de correo electrónico "asdasdad@adasdad.com" como administrador. Debido a esto, podríamos haber restablecido la contraseña y haber iniciado sesión (no lo hicimos).



A continuación, nos encontramos con un usuario que creó una dirección "falsa" en el dominio adasdad.com como correo electrónico de recuperación de su cuenta de Google. Cada vez que inician sesión en su cuenta de Google, se genera un correo electrónico como el siguiente y se envía a nuestro dominio keysmash.

Un usuario con una página comercial de Facebook aparentemente estaba experimentando con algunas de las funciones de Facebook y envió una invitación para administrar su página comercial a "adsadada@adasdad.com", sin duda una dirección que creían que nunca existiría.

Los usuarios incluso utilizaron direcciones de correo electrónico inventadas en el dominio adasdad.com para registrarse en servicios como Netflix. El correo electrónico a continuación fue de una suscripción de Netflix en vivo que se registró con la dirección de correo electrónico "akdhahdasdad@adasdad.com"



ZAMBULLIRSE EN LA PISCINA MINERA


Otro tipo interesante de sitio web con el que a veces te encuentras cuando se bucea en un contenedor de dominios son los nombres de dominio que antes usaban los mineros de criptomonedas. La minería de criptomonedas se puede realizar solo, sin embargo, cuando los criptomineros combinan sus recursos, pueden aumentar su productividad y recibir ganancias más regulares. Para combinar los recursos mineros, los mineros forman "grupos" mineros que organizan a varios clientes mineros en una sola entidad monolítica. Ocasionalmente, los dominios utilizados por estos grupos de minería desaparecen, pero no todos reciben la nota, y algunos clientes de minería zombi continuarán preguntando en el dominio del grupo de minería si hay algún trabajo de minería que realizar.


Mientras buscaba en un contenedor de basura de dominio, Talos se encontró con un antiguo dominio de grupo de minería de Monero, "minexmr1.com". Después de volver a registrar este dominio, notamos que estábamos recibiendo tráfico en algunos de los puertos de criptominería más comunes (por ejemplo, 3333 y 5555). Escuchamos estos puertos y vimos que los clientes de minería estaban ejecutando el software xmrig y buscaban trabajos de minería en Monero.


Sería trivial reemplazar el servidor del grupo de minería que normalmente habría organizado este grupo de minería en este dominio con un proxy de criptominería como xmrig-proxy . Los criptomineros individuales utilizan proxies como "xmrig-proxy" para aprovechar múltiples recursos de minería de modo que puedan enfocar estos recursos hacia un único grupo de minería aguas arriba o mover los recursos a un nuevo grupo de minería al unísono sin necesidad de volver a realizar la configuración. en varios dispositivos. El uso de un proxy de minería de esta manera permitiría al propietario de este dominio aprovechar estos clientes mineros zombis, conectarlos a un grupo de minería ascendente y, por lo tanto, obtener un ingreso pasivo sin pagar nada a los mineros descendentes.


VÍCTIMAS EN JUEGO


Después de que se interrumpe un ataque informático, nos gustaría imaginar que se detiene a los perpetradores, se notifica a todas las víctimas, se limpia la escena del crimen y el mundo vuelve a estar seguro hasta el próximo ataque. La realidad es, por supuesto, mucho más complicada. La mayoría de los actores maliciosos nunca son atrapados. No siempre se notifica a las víctimas y, cuando lo hacen, a menudo pueden mostrarse incrédulos o indiferentes ante el ataque. Los profesionales de la seguridad a veces ayudan a limpiar la "escena del crimen" hundiendo dominios de comando y control (C2) o dominios DGA utilizados por los atacantes para llevar a cabo sus fechorías. Sin embargo, muchas veces todos simplemente se alejan después de que se interrumpe un ataque, y los nombres de dominio de los atacantes se dejan en barbecho, listos para ser recogidos por ... cualquiera.


Por ejemplo, en 2018, hubo un ataque de día cero que involucraba enrutadores Mikrotik. El ataque se interrumpió después de que el proveedor lanzara un parche. Eventualmente, los dominios de los atacantes involucrados cayeron del registro.


Resulta que varias de las víctimas de este ataque que tenían sus enrutadores Mikrotik comprometidos no recibieron la nota sobre el ataque o simplemente no les importó solucionar el problema. Como resultado, sus enrutadores continuaron llegando al vacío. Por ejemplo, al ver la línea de tiempo del dominio C2 del atacante "marchdom4.com" en Umbrella Investigate, vemos que hay una cantidad sustancial de tráfico que indica que varias máquinas todavía están intentando comunicarse con los atacantes.



Talos volvió a registrar este nombre de dominio y analizó el tráfico que recibimos. Encontramos miles de víctimas que se vieron comprometidas en el ataque original hace casi tres años que todavía estaban buscando en vano la siguiente carga útil del ataque.


Si este dominio cayera en manos de un actor de amenazas, podría potencialmente reclamar a estas víctimas del ataque anterior como propias, tal vez incluso "incriminando" a los atacantes originales para una nueva actividad maliciosa en el proceso.


CONCLUSIÓN


Los dominios que hemos discutido aquí son realmente solo la punta del iceberg. Cada día caducan más dominios, y la afluencia de nuevos dominios de nivel superior también ha enriquecido el panorama para los especuladores de dominios caducados. Teniendo las herramientas adecuadas para buscar estos dominios, uno puede encontrar dominios que aún reciben, por cualquier motivo, una cantidad sustancial de tráfico de red. Cuando miramos estas corrientes de tráfico, a menudo vemos fantasmas del pasado.


Personalmente, después de estar en línea por más de 30 años, he perdido la cuenta de la cantidad de sitios diferentes en los que me he "registrado" para recibir algún servicio u otro. Piense en los nombres de dominio en los que tiene presencia. ¿Cómo utiliza estos distintos nombres de dominio? Si desaparecieran por alguna razón, ¿quedarían datos confidenciales para que otros los recuperen o encuentren? Imagine el peor de los casos: un atacante vuelve a registrar estos nombres de dominio y roba información, o utiliza la información que encuentra para realizar ataques adicionales.


Estos ataques podrían ser completamente pasivos, simplemente configurando un dominio y recopilando la información que fluye, buscando oro. O podrían tomar la forma de simples ataques de ingeniería social, como hacerse pasar por una organización legítima en phishing u otras estafas. Alternativamente, los dominios de URL incrustados en contenido web que están destinados a cargar algo inocuo podrían potencialmente volverse "malos" si el dominio no se registra. ¿Cómo les iría a las defensas de su computadora y red contra un ataque como este? En cualquier caso, el tráfico de su red que se dirige a los "callejones sin salida" de Internet debe investigarse para evitar convertirse en una víctima en caso de que esos "callejones sin salida" de repente se conviertan en barrios de Internet turbios.

COBERTURA

A continuación se enumeran otras formas en las que nuestros clientes pueden detectar y bloquear amenazas como estas.


Advanced Malware Protection ( AMP ) es ideal para prevenir la ejecución de malware utilizado por los actores de amenazas en dominios cuestionables.


El escaneo web de Cisco Cloud Web Security ( CWS ) o Web Security Appliance (WSA ) evita el acceso a sitios web y dominios maliciosos y detecta malware.


Email Security puede bloquear correos electrónicos maliciosos enviados por actores de amenazas como parte de suplantación de identidad u otras campañas de ingeniería social.


Los dispositivos de seguridad de red como el cortafuegos de próxima generación ( NGFW ), el sistema de prevención de intrusiones de próxima generación ( NGIPS ) y Meraki MX pueden detectar actividad maliciosa asociada con dominios cuestionables.


AMP Threat Grid ayuda a identificar binarios maliciosos y a incorporar protección en todos los productos de seguridad de Cisco.


Umbrella , nuestra puerta de enlace segura a Internet (SIG), impide que los usuarios se conecten a dominios, direcciones IP y URL maliciosas, ya sea que los usuarios estén dentro o fuera de la red corporativa.


Los clientes de Open Source Snort Subscriber Rule Set pueden mantenerse actualizados descargando el último paquete de reglas disponible para su compra en Snort.org .


Fuente: https://blog.talosintelligence.com/2021/03/domain-dumpster-diving.html

7 vistas0 comentarios