Remarque: un merci spécial à Ed Gibbs, Advanced Threat Researcher & Technical Account Manager de l’API WhoisXML, pour avoir aidé à compiler les fichiers de domaine et de sous-domaine utilisés dans cet article.

Saviez-vous qu’une base de données complète de sous-domaines peut fournir 69 383 noms de domaine complets (FQDN) avec la chaîne « firewall », 241 654 FQDN pour « cctv » et 19 048 FQDN pour « scada »? Ces données peuvent donner aux chercheurs en cybersécurité des points de départ possibles pour un article ou même un document de recherche complet.

Un analyste de la sécurité chargé d’étendre l’empreinte d’un domaine d’intérêt qui comprend les termes ci-dessus bénéficierait également d’outils tels que Découverte des domaines et sous-domaines qui extrait les données d’une base de données de sous-domaines. Cet article montre comment.

Expansion de l’empreinte du terme de cybersécurité

On pourrait imaginer que des domaines et sous-domaines contenant la chaîne « Firewall », « CCTV » ou « Scada » pourraient être rencontrés dans le phishing et d’autres attaques capables de logiciels malveillants qui ciblent les utilisateurs de la technologie ou ceux qui l’utilisent intéressés à les utiliser et actuellement recherche de prestataires.

Analyse des domaines avec la chaîne « Firewall »

Notre analyse des milliers de domaines contenant la chaîne «pare-feu» a révélé l’utilisation de marques populaires telles que Linux, Sophos et Apple, entre autres. Il y en a bien sûr d’autres dont les numéros de domaine spécifiques sont listés ci-dessous.

Sur les 66 domaines / sous-domaines «Linux», seuls 24 pouvaient être attribués publiquement à une personne ou à une organisation. Ceux-ci peuvent être considérés comme sécurisés car les cyber-attaquants cachent généralement leurs traces et leur identité. En examinant les enregistrements WHOIS des 23 domaines / sous-domaines «Sophos», nous avons constaté que trois d’entre eux peuvent être attribués publiquement à une personne ou à une organisation. Enfin, pour les domaines / sous-domaines «Cisco», quatre pourraient être attribués publiquement à une personne ou à une organisation.

Les équipes de sécurité peuvent exécuter des requêtes similaires sur les marques restantes pour s’assurer qu’aucune d’elles ne usurpe les entreprises légitimes dans l’espoir de contourner les filtres à des fins malveillantes.

Les domaines contenant la chaîne «pare-feu» ont également été vérifiés pour d’autres chaînes qui pourraient servir d’appât pour inciter les utilisateurs à révéler les informations d’identification de leur compte ou à télécharger des logiciels malveillants (tels que l’avertissement, la sécurité et l’erreur). Ils ont également été vérifiés pour voir s’ils pouvaient être utilisés sur les pages du didacticiel pour les cybercriminels présumés (par exemple, Anti, Off et Block / Unblock). Le tableau suivant présente nos résultats plus en détail.

Les utilisateurs actuels du pare-feu risquent le plus d’inciter les attaquants à divulguer leurs informations d’identification ou à télécharger des logiciels malveillants sur leur ordinateur avec des e-mails censés les alerter de la menace.

Analyse des domaines avec la chaîne « CCTV »

Le test de différents domaines «CCTV» pour la présence des mêmes marques a abouti à une liste de neuf noms, qui sont présentés dans le tableau ci-dessous.

La plupart des 20 domaines / sous-domaines qui contiennent « asus » (en particulier 19) pourraient être attribués publiquement à une personne ou à une organisation. Les 10 domaines / sous-domaines « WordPress » sont désormais attribuables publiquement. Enfin, deux des six domaines / sous-domaines « aws » peuvent être attribués publiquement.

Pour comparer l’exemple « cctv » aux domaines / sous-domaines « pare-feu », nous avons essayé de déterminer combien d’entre eux utilisaient les mêmes termes qui pourraient apparaître dans les domaines, soit comme appât victime, soit comme indicateurs pour les outils d’attaquant. Le tableau suivant présente nos résultats.

Analyse des domaines avec la chaîne « SCADA »

Finalement, 12 marques ont été affichées pour les domaines avec la chaîne «scada», comme indiqué dans le tableau suivant.

Les 81 domaines / sous-domaines contenant la chaîne «WordPress» peuvent être attribués publiquement à une personne ou à une organisation. Sur les 36 domaines / sous-domaines « aws », 27 peuvent désormais être attribués publiquement. Après tout, cinq des huit domaines / sous-domaines «Linux» sont publiquement mappables et accessibles en toute sécurité.

Pour comparer les domaines à ceux qui contiennent « Firewall » et « CCTV », nous les avons scannés pour les mêmes chaînes de caractères qui pourraient servir d’appât d’ingénierie sociale. Le tableau suivant présente nos résultats.


Sur la base des résultats de l’expansion de l’empreinte pour les trois chaînes analysées, les utilisateurs de RedHat et Linux peuvent être à risque d’être potentiellement victimes des menaces associées. En outre, ceux qui recherchent des moyens de protéger leurs pare-feu, leurs systèmes de vidéosurveillance et leurs appareils SCADA contre les attaques peuvent courir un risque si les domaines apparaissent dans des campagnes malveillantes. Et si les domaines avec l’une des trois chaînes sont signalés comme suspects par les filtres d’une organisation, la hiérarchisation des domaines combinée avec « bloquer / débloquer » peut être un bon point de départ.

Si vous souhaitez améliorer davantage la recherche sur l’expansion de l’empreinte, comme détaillé dans cet article, vous voudrez peut-être postuler pour cela. Flux communautaire Typosquatting. Veuillez noter que les applications ne sont actuellement disponibles que pour les experts en sécurité.





Source link

Recent Posts