Nieuwe Infoblox-algoritmen detecteren Chinese malware-domeinen. Domeinen wisselen razendsnel van IP-adres dankzij dynamische DNS-technologie. Infoblox heeft onlangs een nieuwe reeks malware-campagnes ontdekt met kenmerken die overeenkomen met geavanceerde Chinese dreigingsactoren (APT’s). De campagnes zijn lastig te identificeren, maar kwamen aan het licht dankzij nieuwe, gepatenteerde opsporingsalgoritmen van Infoblox.
Een van de nieuwe Infoblox-algoritmen is gericht op het vinden van geregistreerde domeinen die zijn aangemaakt door domeingeneratie-algoritmen (DGA’s). DGA’s maken periodiek grote hoeveelheden URL’s aan, die vervolgens kunnen worden ingezet in malware-campagnes.
In dit geval kwam het Infoblox-algoritme een verzameling domeinnamen op het spoor die het werk lijken te zijn van een Chinese APT. De actoren achter de domeinen hebben deze eerst laten verouderen voordat ze in gebruik werden genomen. Een slimme zet, want een hagelnieuwe domeinnaam is al snel verdacht. Bovendien maakten ze gebruik van dynamische DNS, waardoor de onderliggende IP-adressen razendsnel konden worden veranderd. Het Infoblox-algoritme identificeerde 29 domeinen die onderdeel waren van één DNS-infrastructuur. Al deze domeinen, die in China werden gehost, werden gebruikt voor dezelfde malware-campagne. Verdere analyse breidde de lijst uit tot 125 domeinnamen.
Veel security-producten identificeren dit soort DGA-domeinen niet als kwaadaardig en kunnen ze zelfs als legitiem markeren, terwijl ze gebruikt worden voor malware, phishing of andere vormen van oplichting. Security-professionals binnen organisaties moeten dan ook op hun hoede blijven en domeinen als verdacht markeren als ze kenmerken van een DGA-campagne vertonen.