SANTA CLARA, Kalifornia., Huhtikuu 20, 2023 / PRNewswire / - Infoblox Inc., yritys, joka tarjoaa yksinkertaistetun, pilvipohjaisen verkko- ja tietoturvaalustan suorituskyvyn ja suojauksen parantamiseksi, julkaisi tänään uhkaraportti blogi etäkäyttötroijalaisessa (RAT) -työkalusarjassa, jossa on DNS-komento ja ohjaus (C2). Työkalusarja loi poikkeavan DNS-allekirjoituksen, joka havaittiin yritysverkoissa Yhdysvalloissa, Eurooppa, Etelä-Amerikassaja Aasia teknologian, terveydenhuollon, energian, rahoitusalan ja muilla aloilla. Osa näistä tiedoista menee sisään tulevaan ohjaimeen Venäjä.

Luotu "syöjäkoira" Infobloxin uhkatiedusteluryhmä oli ensimmäinen, joka löysi tämän työkalupakin ja tekee yhteistyötä muiden tietoturvatoimittajien ja asiakkaiden kanssa keskeyttääkseen tämän toiminnan, tunnistaakseen hyökkäysvektorin ja suojatakseen maailmanlaajuisia verkkoja. Kriittinen näkemys on, että ajan mittaan mitatut DNS-poikkeamat eivät vain nousseet RAT:iin, vaan sidoivat lopulta yhteen näennäisesti itsenäisen C2-viestinnän. Infobloxin havaintojen tekninen analyysi on tätä.

"Decoy Dog on vahva muistutus vahvan, suojaavan DNS-strategian tärkeydestä", sanoi Renée Burton, Infobloxin uhkatiedon johtaja. "Infoblox keskittyy DNS-uhkien havaitsemiseen, hyökkäysten keskeyttämiseen ennen niiden alkamista ja antaa asiakkaiden keskittyä omaan liiketoimintaansa." 

Erikoistuneena DNS-pohjaisena tietoturvatoimittajana Infoblox seuraa vihollisen infrastruktuuria ja voi nähdä epäilyttävän toiminnan uhan elinkaaren varhaisessa vaiheessa, kun on olemassa "kompromissi-aikeet" ja ennen varsinaisen hyökkäyksen alkamista. Normaalisti liiketoiminnassa kaikki epäilyttävät indikaattorit sisällytetään Infobloxin epäilyttävän verkkotunnuksen syötteisiin suoraan asiakkaille, jotta he voivat suojautua ennaltaehkäisevästi uusilta ja uusilta uhilta.

Uhkien löytäminen, anatomia ja lieventäminen: 

• Infoblox havaitsi etäkäyttötroijalaisen (RAT) toiminnan, joka on aktiivinen useissa yritysverkoissa alkuaikoina huhtikuu 2023. Tätä C2-viestintää ei löydetty sen jälkeen huhtikuu 2022.
• RAT havaittiin epänormaalista DNS-toiminnasta rajoitetuissa verkoissa ja verkkolaitteissa, kuten palomuureissa; ei käyttäjän laitteita, kuten kannettavia tietokoneita tai mobiililaitteita.
• RAT luo DNS-jalanjäljen, jota on erittäin vaikea havaita erikseen, mutta analysoituna globaalissa pilvipohjaisessa suojaavassa DNS-järjestelmässä, kuten Infobloxin BloxOne®. Uhkapuolustus, osoittaa voimakasta outlier-käyttäytymistä. Lisäksi se antoi Infobloxille mahdollisuuden sitoa eri verkkotunnukset yhteen.
• C2-viestintä tapahtuu DNS:n kautta ja perustuu avoimen lähdekoodin RAT:iin nimeltä Pupy. Vaikka tämä on avoimen lähdekoodin projekti, se on johdonmukaisesti liitetty kansallisvaltioiden toimijoihin.
• Organisaatiot, joilla on suojaava DNS, voivat pienentää riskiään. BloxOne Threat Defense -asiakkaat on suojattu näiltä epäilyttäviltä verkkotunnuksilta.
• Tässä tapauksessa venäläiset C2-verkkotunnukset sisältyivät jo syksyllä 2022 BloxOne Threat Defense (Advanced) epäilyttävät verkkotunnukset -syötteisiin. Suspicious Domains -syötteen lisäksi nämä verkkotunnukset on nyt lisätty Infobloxin haittaohjelmien torjuntasyötteeseen.
• Infoblox kehottaa edelleen organisaatioita estämään seuraavat verkkotunnukset:
• claudfront.net
• sallittulista.net
• atlas-upd.com
• ads-tm-glb.click
• cbox4.ignorelist.com
• hsdps.cc

"Vaikka havaitsemme automaattisesti tuhansia epäilyttäviä verkkotunnuksia joka päivä DNS-tasolla – ja tällä korrelaatiotasolla, on harvinaista löytää nämä toiminnot, jotka kaikki ovat peräisin samasta työkalupakkista, joka hyödyntää DNS:ää komentoihin ja hallintaan", Burton lisäsi.

Infoblox-tiimi työskentelee ympäri vuorokauden ymmärtääkseen DNS-toiminnan. Tämän kaltaiset monimutkaiset ongelmat korostavat tarvetta luoda alan laajuinen syvällinen tiedustelustrategia, jossa jokainen osallistuu uhan koko laajuuden ymmärtämiseen.

Koko uhkayhteenveto nimeltä "Dog Hunt: Löytää Decoy Dog Toolkit epänormaalin DNS-liikenteen kautta" napsauttaa tätä.

Tietoja Infobloxin Threat Intelligence Groupista:

Infobloxin Threat Intelligence Group on omistautunut luomaan korkealaatuisia "block-and-forget" -verkkotunnuspalvelun (DNS) tiedustelutietoja käytettäväksi BloxOne Threat Defense -palvelussa. Infobloxin suojausstrategian ydin on epäilyttävien verkkotunnusten tunnistaminen. Infobloxin Threat Intelligence Group käyttää patentoitua koneoppimisalgoritmia minimoimaan yritysten katkosten riskiä ja mahdollistamaan samalla maksimaalisen uhkien peiton. Infoblox tunnistaa epäilyttävät verkkotunnukset useiden verkkotunnusten avulla räätälöidyt algoritmit ja DNS-pohjainen uhkien etsintä.

Organisaatio keskittyy DNS- ja infrastruktuuritoimijoihin. Tiimi voi tunnistaa epäilyttävän toiminnan ennen kuin alan viereiset alueet (päätepiste, verkkovirtatoimittajat) tietävät sen vaikutuksen, ja se voi seurata pysyviä toimijoita estämään DNS-infrastruktuurinsa ennen kuin siitä tulee ongelma asiakkaillemme. Uhkatoimijat rekisteröivät verkkotunnuksia usein hyvissä ajoin ennen niiden käyttämistä hyökkäyksiin, tyypillisesti 14–120 päivää etukäteen, mutta olemme nähneet verkkotunnuksia pidettyinä lepotilassa yli kaksi vuotta – kuten tässä tapauksessa.

Tietoja Infobloxista 

Infoblox yhdistää verkottumisen ja tietoturvan tarjotakseen vertaansa vailla olevaa suorituskykyä ja suojausta. Fortune 100 -yritysten ja nousevien innovaattorien luottamiin tarjoamme reaaliaikaisen näkyvyyden ja hallinnan siitä, kuka ja mikä yhdistää verkkoosi, jotta organisaatiosi toimii nopeammin ja lopettaa uhat aikaisemmin. Vierailla infoblox.comtai seuraa meitä LinkedIn or Twitter.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
• Tulevaisuuden lyöminen Adryenn Ashley. Pääsy tästä.
• Lähde: https://www.darkreading.com/vulnerabilities-threats/infoblox-uncovers-dns-malware-toolkit-urges-companies-to-block-malicious-domains