링크모음 링크세상
링크세상 링크모음 링크 애니 웹툰 링크 드라마 영화 링크 세상의모든링크

.US, 악성 링크 단축 서비스 대량 차단 – Krebs on Security

미국의 최상위 도메인 — .우리를 —에는 맬웨어 및 피싱 사기를 조장하는 악성 링크 단축 서비스와 연결된 수천 개의 새로 등록된 도메인이 있는 것으로 새로운 연구 결과가 나타났습니다. 이번 조사 결과는 지난 1년 동안 가장 널리 퍼진 피싱 공격 중 하나로 .US 도메인을 식별한 보고서가 나온 직후에 나온 것입니다.

연구원 인포블록스 그들은 피셔와 악성 코드 제공자를 대상으로 하는 3년 된 링크 단축 서비스로 보이는 것을 추적해 왔다고 말합니다. Infoblox는 관련 도메인의 길이가 일반적으로 3~7자이며 남용이나 법적 불만 사항을 무시하기 위해 프리미엄을 청구하는 방탄 호스팅 제공업체에서 호스팅된다는 사실을 발견했습니다. 짧은 도메인은 자체적으로 콘텐츠를 호스팅하지는 않지만 사용자를 피싱하거나 악성 코드를 설치하려는 랜딩 페이지의 실제 주소를 난독화하는 데 사용됩니다.

Infoblox가 “Prolific Puma”라고 명명한 악성 링크 단축 서비스의 운영을 설명하는 그래픽입니다.

Infoblox는 이 서비스와 관련된 피싱 및 악성 코드 랜딩 페이지가 처음에 어떻게 홍보되고 있는지 불분명하다고 밝혔습니다. 그러나 주로 SMS를 통해 휴대폰으로 사람들을 표적으로 삼는 사기를 통해 홍보되는 것으로 의심됩니다. 새로운 보고서에 따르면 회사는 부분적으로 짧은 도메인의 의사 무작위 패턴 덕분에 이 링크 단축 서비스의 윤곽을 매핑했다고 밝혔습니다. 이 패턴은 모두 표면적으로 의미 없는 문자와 숫자의 뒤죽박죽으로 나타납니다.

“도메인 이름 생성 알고리즘을 사용하는 등록을 감지하는 시스템이 있기 때문에 이 점이 우리의 관심을 끌었습니다.”라고 말했습니다. 르네 버튼Infoblox의 위협 인텔리전스 책임자입니다. “우리는 단축기를 통해 제공되는 합법적인 콘텐츠를 찾지 못했습니다.”

Infoblox는 2023년 5월까지 .info로 끝나는 도메인이 악성 링크 단축 서비스와 관련된 신규 등록의 대부분을 차지한다고 판단했습니다.다산 퓨마.” 그 이후로 그들은 서비스 실행 책임자가 생성된 전체 도메인의 약 55%에 대해 .US를 사용했으며 매일 수십 개의 새로운 악성 .US 도메인이 등록된다는 사실을 발견했습니다.

.US는 다음의 감독을 받습니다. 미국통신정보청 (NTIA) 행정부 산하 기관 미국 상무부. 그러나 Uncle Sam은 오랫동안 .US의 관리를 다양한 민간 기업에 아웃소싱해 왔으며, 이로 인해 점차 미국의 최상위 도메인이 피싱 활동의 소굴로 전락하게 되었습니다.

아니면 그렇게 결론이 난다 인터아일 컨설팅 그룹다양한 업계 소스로부터 피싱 데이터를 수집하고 최신 동향에 대한 연례 보고서를 발행합니다. 2018년까지 Interisle은 .US 도메인이 스팸, 봇넷(DDOS 등의 공격 인프라) 및 불법 또는 유해 콘텐츠에 대해 세계 최악의 도메인이라는 사실을 발견했습니다.

Interisle의 최신 연구에서는 2022년 5월 1일부터 2023년 4월 30일까지 600만 건의 피싱 보고서를 조사하여 약 30,000개의 .US 피싱 도메인을 식별했습니다. Interisle은 상당수의 .US 도메인이 Bank of America, Amazon, Apple, AT&T, Citi, Comcast, Microsoft, Meta 및 Target을 포함하여 미국의 주요 기업을 공격하기 위해 등록되었음을 발견했습니다. 다른 것들은 미국 정부 기관을 사칭하거나 공격하는 데 사용되었습니다.

NTIA 규정에 따라 .US 도메인 등록을 처리하는 도메인 등록 기관은 해당 고객이 실제로 미국에 거주하고 있는지 또는 미국에 기반을 둔 조직을 소유하고 있는지 확인하기 위해 특정 단계(PDF)를 수행해야 합니다. 그러나 GoDaddy를 통해 .US 도메인을 등록하는 경우 — 가장 큰 도메인 등록 기관이자 .US 계약의 현재 관리자입니다. 미국 관계를 “증명”하는 방법은 미리 선택된 세 가지 긍정 응답 중 하나를 선택하는 것입니다.

대부분의 도메인 등록 기관이 유럽 개인 정보 보호법을 위반하지 않기 위해 공개적으로 액세스할 수 있는 등록 기록에서 고객 정보를 자동으로 삭제하는 시대에 .US는 헌장에서 모든 등록 기록을 공개하도록 명시하고 있기 때문에 특이한 존재로 남아 있습니다. 그러나 인포블록스는 2023년 10월부터 2023년 10월까지 등록된 .US로 끝나는 악성 링크 단축 도메인이 2000개 이상 발견됐다고 밝혔다. 이름Silo 이는 어떻게든 usTLD의 투명성 요구 사항을 전복하고 비공개 등록으로 전환한 것입니다.

Infoblox는 “NameSilo에 대한 우리 자신의 경험을 통해 인터페이스를 통해 usTLD의 도메인에 대한 비공개 등록을 선택하는 것은 불가능합니다.”라고 썼습니다. “그래도 일은 끝났습니다. 개인 기록이 있는 전체 도메인 중 99% 이상이 NameSilo에 등록되어 있습니다. 현재로서는 이러한 행위를 설명할 수 없다”고 말했다.

성명Silo CEO 크리스탑스 론카 회사는 악의적인 도메인에 대한 보고에 적극적으로 대응하지만 Infoblox의 조사 결과와 관련된 어떤 남용 보고서도 본 적이 없다고 말했습니다.

Ronka는 “우리는 수백에서 수천 개의 도메인을 제거하고 그 중 상당수가 남용을 사전에 방지하기 위해 노력하고 있습니다.”라고 말했습니다. “예를 들어 현재 AbuseIQ 남용률은 0%입니다. AbuseIQ는 수많은 출처로부터 신고를 받고 있지만 아직 ‘Puma’ 남용 신고는 본 적이 없습니다.”

맬웨어 및 피싱과 관련된 도메인을 추적하는 전문가들은 등록 시 제공되는 가짜 정보도 남용에 사용되기 전에 잠재적으로 악의적이거나 피싱 도메인을 식별하는 데 유용하다고 말합니다.

예를 들어 2023년 7월 NameSilo를 통해 등록한 경우 해당 도메인은 1ox[.]우리를 — 수천 명의 다른 사람들과 마찬가지로 — 등록자를 “레일라 푸마” 폴란드의 거리 주소 및 이메일 주소 blackpumaoct33@ukr.net. 그러나 따르면 DomainTools.com2023년 10월 1일에 해당 기록은 NameSilo에 의해 수정되고 숨겨졌습니다.

Infoblox는 이메일 주소의 사용자 이름 부분이 텍사스 오스틴에 본사를 둔 사이키델릭 소울 밴드인 Black Pumas의 October 33 노래를 참조한 것으로 보인다고 지적했습니다. 블랙 퓨마는 정확하게 알려진 이름은 아니지만 최근에는 Kinks의 노래 “Strangers”의 커버를 특징으로 하는 인기 YouTube 비디오가 있었습니다. 여기에는 “Ukraine”이라는 제목으로 러시아 침략으로부터 피난처를 찾는 우크라이나인에 대한 감정적인 시각적 서술이 포함되어 있습니다. 낯선 사람.” 또한 Leila Puma의 이메일 주소는 우크라이나 이메일 제공업체에 있습니다.

DomainTools는 이전에 Prolific Puma와 연결된 수백 개의 다른 악성 도메인이 다음을 통해 등록되었음을 보여줍니다. 이름저렴 폴란드의 다른 주소에 있는 “Josef Bakhovsky”에게. ancestry.com에 따르면 이 성의 영어식 버전인 Bakovski는 현재 Bakivtsi로 알려져 있으며 우크라이나에 있는 Bakowce 출신의 전통적인 이름입니다.

이러한 폴란드 및/또는 우크라이나 연결 가능성은 링크 단축 서비스 배후에 있는 “누가”에 대해 알려줄 수도 있고 그렇지 않을 수도 있지만 이러한 세부 정보는 이러한 악성 짧은 도메인을 식별하고 그룹화하는 데 유용합니다. 그러나 .US 등록 데이터에 대한 이러한 빈약한 가시성조차 이제 위협을 받고 있습니다.

NTIA는 최근 등록 기관이 .US 도메인에 대한 WHOIS 등록 기록의 모든 등록자 데이터를 수정할 수 있도록 허용하는 제안을 발표했습니다. 광범위한 업계 그룹은 이미 사이버 범죄 활동으로 넘쳐나는 최상위 도메인에 대한 책임의 마지막 흔적을 제거하겠다고 위협하며 제안된 변경 사항에 반대하는 의견을 제출했습니다.

Infoblox의 Burton은 Prolific Puma가 보안 업계의 눈에 띄지 않으면서 수년 동안 악의적인 활동을 조장할 수 있었기 때문에 주목할 만하다고 말했습니다.

Burton은 “이는 공급망 수준에서 범죄 경제가 얼마나 지속적으로 존재할 수 있는지를 보여줍니다.”라고 말했습니다. “우리는 항상 최종 악성 코드나 피싱 페이지를 살펴보지만 여기서 우리가 발견한 것은 예고 없이 수년 동안 지속되는 중간 계층의 DNS 위협 행위자가 있다는 것입니다.”

Prolific Puma에 대한 Infoblox의 전체 보고서는 여기에 있습니다.

Leave A Reply

Your email address will not be published.