Generatiivne andmeluure

Küberturvalisus

Infoblox paljastab DNS-i pahavara tööriistakomplekti ja kutsub ettevõtteid üles pahatahtlikke domeene blokeerima

Taasesitanud Platon
Taasesitanud Platon

kuupäev:

Vaadatud: 153

JÕULUVANA CLARA, California., Aprill 20, 2023 / PRNewswire / - Ettevõte Infoblox Inc., mis pakub täiustatud jõudluse ja kaitse jaoks lihtsustatud pilvepõhist võrgu- ja turbeplatvormi, avaldas täna ohuraport blogi kaugjuurdepääsu trooja (RAT) tööriistakomplektis koos DNS-i käsu ja juhtimisega (C2). Tööriistakomplekt lõi anomaalse DNS-allkirja, mida täheldati USA ettevõtete võrkudes, Euroopa, Lõuna-Ameerikaja Aasia tehnoloogia-, tervishoiu-, energeetika-, finants- ja muudes sektorites. Osa neist sidevahenditest läheb sissetulevasse kontrollerisse Venemaa.

Loodud "peibutuskoer" Infobloxi ohuluurerühm oli esimene, kes selle tööriistakomplekti avastas ja teeb koostööd teiste turbetarnijate ja klientidega, et seda tegevust häirida, ründevektorit tuvastada ja globaalseid võrke kaitsta. Kriitiline arusaam on see, et aja jooksul mõõdetud DNS-i anomaaliad ei toonud esile mitte ainult RAT-i, vaid sidusid lõpuks kokku näiliselt sõltumatud C2-suhtlused. Infobloxi leidude tehniline analüüs on siin.

"Decoy Dog tuletab meelde tugeva ja kaitsva DNS-i strateegia olulisust," ütles Infobloxi ohuluure osakonna vanemdirektor Renée Burton. "Infoblox on keskendunud DNS-i ohtude tuvastamisele, rünnakute katkestamisele enne nende algust ja klientidele oma ettevõttele keskendumise võimaldamisele." 

Spetsialiseerunud DNS-põhise turbetarnijana jälgib Infoblox vastase infrastruktuuri ja suudab näha kahtlast tegevust ohu elutsükli alguses, kui on olemas "kompromissi kavatsus" ja enne tegeliku rünnaku algust. Tavapärase äritegevusena lisatakse kõik kahtlasteks peetavad näitajad Infobloxi kahtlaste domeenide voogudesse, mis on suunatud klientidele, et aidata neil ennetavalt kaitsta end uute ja esilekerkivate ohtude eest.

Ohtude avastamine, anatoomia ja leevendamine: 

  • Infoblox avastas kaugjuurdepääsu trooja (RAT) kutsika tegevuse, mis on varakult aktiivne mitmes ettevõtte võrgus aprill 2023. See C2 suhtlus jäi sellest ajast peale avastamata aprill 2022.
  • RAT tuvastati anomaalse DNS-i tegevuse tõttu piiratud võrkudes ja võrguseadmetes, näiteks tulemüürides; mitte kasutaja seadmeid, nagu sülearvutid või mobiilseadmed.
  • RAT loob DNS-is jalajälje, mida on eraldiseisvalt äärmiselt raske tuvastada, kuid kui seda analüüsitakse globaalses pilvepõhises kaitsvas DNS-süsteemis, nagu Infobloxi BloxOne®. Ohukaitse, näitab tugevat kõrvalekalduvat käitumist. Lisaks võimaldas see Infobloxil siduda erinevad domeenid kokku.
  • C2-suhtlus toimub DNS-i kaudu ja põhineb avatud lähtekoodiga RAT-il nimega Pupy. Kuigi see on avatud lähtekoodiga projekt, on seda järjekindlalt seostatud rahvusriikide osalejatega.
  • Kaitsva DNS-iga organisatsioonid saavad oma riske maandada. BloxOne Threat Defense kliendid on nende kahtlaste domeenide eest kaitstud.
  • Antud juhul lisati Venemaa C2 domeenid kahtlaste domeenide voogudesse BloxOne Threat Defense (Advanced) juba sügisel 2022. Lisaks kahtlaste domeenide voogudele on need domeenid nüüd lisatud Infobloxi pahavaratõrje voogu.
  • Infoblox kutsub organisatsioone jätkuvalt üles blokeerima järgmised domeenid:
    • claudfront.net
    • enablelisted.net
    • atlas-upd.com
    • ads-tm-glb.click
    • cbox4.ignorelist.com
    • hsdps.cc

„Kuigi me tuvastame DNS-i tasemel automaatselt iga päev tuhandeid kahtlaseid domeene – ja sellise korrelatsioonitasemega, on harva avastatud, et need tegevused pärinevad ühest ja samast tööriistakomplektist, mis kasutab DNS-i käsu- ja juhtimiseks,” lisas Burton.

Infobloxi meeskond töötab ööpäevaringselt, et DNS-i tegevust mõista. Sellised keerulised probleemid rõhutavad vajadust kogu tööstusharu hõlmava põhjaliku luurestrateegia järele, kus igaüks annab oma panuse ohu kogu ulatuse mõistmisse.

Täieliku ohukokkuvõtte jaoks pealkirjaga "Koerajaht: peibutuskoera tööriistakomplekti leidmine anomaalse DNS-liikluse kaudu" klõps siin.

Infobloxi ohuluurerühma kohta:

Infobloxi ohuluurerühm on pühendunud kõrge täpsusega "blokeeri-ja-unusta" domeeninimeteenuse (DNS) luureandmete loomisele, mida kasutatakse BloxOne'i ohukaitses. Infobloxi kaitsestrateegia tuum on kahtlaste domeenide tuvastamine. Infobloxi Threat Intelligence Group kasutab patenteeritud masinõppe algoritmi, et minimeerida ettevõtte katkestuste riski, võimaldades samal ajal ohtude maksimaalset katmist. Infoblox tuvastab kahtlased domeenid mitme kaudu kohandatud algoritmid ja DNS-põhine ohujaht.

Organisatsioon keskendub DNS-i ja infrastruktuuri osalistele. Meeskond suudab tuvastada kahtlase käitumise enne, kui selle mõjust saavad teada valdkonna külgnevad valdkonnad (lõpp-punkt, võrguvoo müüjad), ja saab jälgida püsivaid osalejaid, kes blokeerivad nende DNS-infrastruktuuri enne, kui see muutub meie klientidele probleemiks. Ohutegijad registreerivad domeenid sageli aegsasti enne nende rünnakuteks kasutamist, tavaliselt 14–120 päeva ette, kuid oleme näinud, et domeenid on seisnud üle kahe aasta – nagu käesoleval juhul.

Infobloxi kohta 

Infoblox ühendab võrgu ja turvalisuse, et pakkuda võrreldamatut jõudlust ja kaitset. Fortune 100 ettevõtete ja uute innovaatorite usaldatud, pakume reaalajas nähtavust ja kontrolli selle üle, kes ja mis teie võrguga ühendub, et teie organisatsioon toimiks kiiremini ja peataks ohud varem. Külastage infoblox.comvõi jälgige meid LinkedIn or puperdama.

spot_img

Uusim intelligentsus

spot_img

Autoriõigus @ 2024 Plato Technologies Inc.