Domainregisztráció gyengeségeinek kihasználása
A CrowdStrike a typosquattinget járja körül technikai és taktikai szempontból, amely napjainkban a biztonsági észlelés egyik legjobb gyakorlatait is képes kijátszani. A typosquatting lényege, hogy a rosszindulatú szereplők a legális webhelyek neveinek enyhén módosított változatait regisztrálják, például kis elgépeléssel vagy karaktercserével, így például a examp1e.com az example.com helyett, hogy megtévesszék a felhasználókat és a védelmi rendszereket. Egy ilyen domainről a cél egyaránt lehet hitelesítő adatok begyűjtése, phishing oldal létrehozása, malware-letöltések indítása vagy reputációs kár okozása – mindezt úgy, hogy a felületes ellenőrzés során a cím látszólag legitimnek tűnik.
A CrowdStrike szerint a technika messze túlmutat az egyszerű elgépelésen, a támadók hamis WHOIS-adatokat, megtévesztő regisztrációs információkat és akár 301/302 HTTP-átirányításokat is használnak, hogy átirányítsák a látogatókat a valódi webhelyre, így még nehezebb észrevenni a rosszindulatú címet. Ez a technika hatékonyan egy dupla stratégiát valósít meg, a domain elsőre ártatlannak tűnik, így elkerülheti a biztonsági szűrőket és felhasználói gyanút, miközben maga mögött adatgyűjtő vagy kártevő-terjesztő infrastruktúrát működtet.
A CrowdStrike elemzése szerint a modern typosquatting kampányok infrastruktúrája is egyre professzionálisabb, gyakran elfedi a valódi célt azáltal, hogy egymással összekapcsolt rosszindulatú feltételeket, HTTPS-tanúsítványokat és arra alkalmas webes elemeket használnak. Emellett a védelmi csapatok észlelési kihívása abban rejlik, hogy egyetlen domain nem feltétlenül egyetlen rosszindulatú tevékenységet jelképez; ugyanaz a domain több funkciót is elláthat, így a phishing-oldal mellett malware-letöltést is, így a viselkedés-alapú analízis kulcsfontosságú a felismerésben.
