Trí thông minh dữ liệu tạo

An ninh mạng

Infoblox khám phá Bộ công cụ phần mềm độc hại DNS & kêu gọi các công ty chặn các miền độc hại

Tái bản bởi Plato
Tái bản bởi Plato

Ngày:

Lượt xem: 153

SANTA CLARA, California., 20 Tháng Tư, 2023 / PRNewswire / - Infoblox Inc., công ty cung cấp nền tảng bảo mật và mạng đơn giản hóa, hỗ trợ đám mây để cải thiện hiệu suất và khả năng bảo vệ, hôm nay đã xuất bản một báo cáo mối đe dọa  Blog của chúng tôi. trên bộ công cụ trojan truy cập từ xa (RAT) với lệnh và kiểm soát DNS (C2). Bộ công cụ đã tạo ra một chữ ký DNS bất thường được quan sát thấy trong các mạng doanh nghiệp ở Hoa Kỳ, Châu Âu, Nam Mỹ Châu Á trên các lĩnh vực công nghệ, y tế, năng lượng, tài chính và các lĩnh vực khác. Một số thông tin liên lạc này đi đến một bộ điều khiển trong Nga.

Được tạo ra “Chó mồi,” Nhóm tình báo mối đe dọa của Infoblox là người đầu tiên phát hiện ra bộ công cụ này và đang cộng tác với các nhà cung cấp bảo mật khác, cũng như khách hàng, để phá vỡ hoạt động này, xác định hướng tấn công và bảo mật mạng toàn cầu. Cái nhìn sâu sắc quan trọng là sự bất thường của DNS được đo lường theo thời gian không chỉ làm nổi bật RAT mà cuối cùng còn gắn kết các giao tiếp C2 dường như độc lập với nhau. Một phân tích kỹ thuật về những phát hiện của Infoblox là tại đây.

Renée Burton, Giám đốc cấp cao về Tình báo Đe dọa của Infoblox cho biết: “Decoy Dog là một lời nhắc nhở rõ ràng về tầm quan trọng của việc có một chiến lược DNS mạnh mẽ, có tính bảo vệ cao. “Infoblox tập trung vào việc phát hiện các mối đe dọa trong DNS, ngăn chặn các cuộc tấn công trước khi chúng bắt đầu và cho phép khách hàng tập trung vào công việc kinh doanh của riêng họ.” 

Là một nhà cung cấp bảo mật dựa trên DNS chuyên biệt, Infoblox theo dõi cơ sở hạ tầng của đối thủ và có thể thấy sớm hoạt động đáng ngờ trong vòng đời của mối đe dọa, nơi có “ý định thỏa hiệp” và trước khi cuộc tấn công thực sự bắt đầu. Như một quy trình kinh doanh thông thường, bất kỳ chỉ báo nào được coi là đáng ngờ đều được đưa vào nguồn cấp dữ liệu miền Đáng ngờ của Infoblox, trực tiếp đến khách hàng, để giúp họ tự bảo vệ mình trước các mối đe dọa mới và đang nổi lên.

Phát hiện mối đe dọa, giải phẫu & giảm thiểu: 

  • Infoblox đã phát hiện ra hoạt động từ trojan truy cập từ xa (RAT) Pupy hoạt động trong nhiều mạng doanh nghiệp vào đầu Ngày 2023 Tháng Tư. Giao tiếp C2 này đã không được khám phá kể từ đó Ngày 2022 Tháng Tư.
  • RAT được phát hiện từ hoạt động DNS bất thường trên các mạng hạn chế và trong các thiết bị mạng như tường lửa; không phải thiết bị người dùng như máy tính xách tay hoặc thiết bị di động.
  • RAT tạo dấu vết trong DNS cực kỳ khó phát hiện khi bị cô lập, nhưng khi được phân tích trong hệ thống DNS bảo vệ dựa trên đám mây toàn cầu như Infoblox's BloxOne® Threat Defense, thể hiện hành vi ngoại lệ mạnh mẽ. Hơn nữa, nó cho phép Infoblox liên kết các miền khác nhau lại với nhau.
  • Giao tiếp C2 được thực hiện qua DNS và dựa trên RAT mã nguồn mở có tên là Pupy. Mặc dù đây là một dự án mã nguồn mở, nhưng nó luôn được liên kết với các chủ thể quốc gia-nhà nước.
  • Các tổ chức có DNS bảo vệ có thể giảm thiểu rủi ro của họ. Khách hàng của BloxOne Threat Defense được bảo vệ khỏi các miền đáng ngờ này.
  • Trong trường hợp này, các miền C2 của Nga đã được đưa vào nguồn cấp dữ liệu miền Đáng ngờ trong BloxOne Threat Defense (Nâng cao) từ mùa thu năm 2022. Ngoài nguồn cấp dữ liệu Miền đáng ngờ, các miền này hiện đã được thêm vào nguồn cấp dữ liệu chống phần mềm độc hại của Infoblox.
  • Infoblox tiếp tục kêu gọi các tổ chức chặn các miền sau:
    • claudfront.net
    • danh sách cho phép.net
    • atlas-upd.com
    • quảng cáo-tm-glb.click
    • cbox4.ignorelist.com
    • hsdps.cc

“Mặc dù chúng tôi tự động phát hiện hàng nghìn miền đáng ngờ mỗi ngày ở cấp độ DNS – và với mức độ tương quan này, rất hiếm khi phát hiện ra tất cả các hoạt động này đều bắt nguồn từ cùng một bộ công cụ tận dụng DNS để ra lệnh và kiểm soát,” Burton nói thêm.

Nhóm Infoblox đang làm việc suốt ngày đêm để hiểu hoạt động của DNS. Những vấn đề phức tạp như vấn đề này làm nổi bật nhu cầu về một chiến lược chuyên sâu về trí thông minh trong toàn ngành, nơi mọi người đều góp phần hiểu được toàn bộ phạm vi của mối đe dọa.

Đối với bản tóm tắt mối đe dọa đầy đủ có tiêu đề “Dog Hunt: Tìm bộ công cụ dành cho chó mồi qua lưu lượng DNS bất thường” Nhấp chuột tại đây.

Giới thiệu về Nhóm tình báo mối đe dọa của Infoblox:

Nhóm tình báo về mối đe dọa tại Infoblox chuyên tạo dữ liệu tình báo dịch vụ tên miền (DNS) “chặn và quên” có độ chính xác cao để sử dụng trong BloxOne Threat Defense. Chiến lược bảo vệ cốt lõi của Infoblox là xác định các miền đáng ngờ. Nhóm tình báo về mối đe dọa của Infoblox sử dụng thuật toán học máy đã được cấp bằng sáng chế để giảm thiểu nguy cơ ngừng hoạt động của doanh nghiệp đồng thời cho phép bao quát tối đa các mối đe dọa. Infoblox xác định các miền đáng ngờ thông qua một số thuật toán được xây dựng tùy chỉnh và tìm kiếm mối đe dọa dựa trên DNS.

Tổ chức tập trung vào DNS và các tác nhân cơ sở hạ tầng. Nhóm có thể xác định hành vi đáng ngờ trước khi tác động của nó được các khu vực lân cận của ngành (điểm cuối, nhà cung cấp netflow) biết đến và có thể theo dõi các tác nhân liên tục để chặn cơ sở hạ tầng DNS của họ trước khi nó trở thành vấn đề đối với khách hàng của chúng tôi. Những kẻ đe dọa thường đăng ký miền trước khi sử dụng chúng cho các cuộc tấn công, thường là trước 14-120 ngày, nhưng chúng tôi đã thấy các miền không hoạt động trong vòng hai năm – giống như trường hợp này.

Giới thiệu về Infoblox 

Infoblox kết hợp mạng và bảo mật để mang lại hiệu suất và khả năng bảo vệ chưa từng có. Được các công ty trong danh sách Fortune 100 và các nhà đổi mới mới nổi tin cậy, chúng tôi cung cấp khả năng hiển thị và kiểm soát theo thời gian thực đối với ai và những gì kết nối với mạng của bạn, để tổ chức của bạn hoạt động nhanh hơn và ngăn chặn các mối đe dọa sớm hơn. Thăm nom infoblox.com, hoặc theo dõi chúng tôi trên LinkedIn or Twitter.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.