>

Domain-Risikoregel: Domain-Köder im Zusammenhang mit dem Ukraine-Konflikt

Der Ukraine-Konflikt hat eine massive Bedrohung für die Cybersicherheit geschaffen, indem er Phishing als Angriffstechnik in den Vordergrund gestellt hat. Phishing-Köder locken Opfer auf bösartige Webseiten, indem sie das große Interesse an negativen Nachrichten und Katastrophen ausnutzen.

Recorded Future beobachtet derzeit täglich neue Domains mit Bezug zur Ukraine, sowohl neu registrierte Domains als auch Subdomains. Einige dieser Domains sind wichtige öffentliche Dienste, viele sind harmlos und einige sind bösartig. Unsere Security-Intelligence-Plattform gleicht diese Domains automatisch mit Whitelists ab, wertet sie auf technische Beweise für Bösartigkeit aus und schafft Klarheit über den kleinen Teil dieser Domains, die als Köder verurteilt werden.

Auslösen von Regeln und Schweregrade

Es gibt zwei Regeln für Domainköder mit Bezug zur Ukraine. Diese Regeln werden ausgelöst, wenn bestimmte Schlüsselwörter in der Domain vorhanden sind, und wir beobachten auch technische Daten, die darauf hindeuten, dass die Domain für schändliche Zwecke verwendet wird. Das böswillige Urteil wird angewendet, wenn die aus proprietären Quellen gewonnenen Beweise auf böswillige Aktivitäten hindeuten. Der verdächtige Schweregrad wird angewendet, wenn unsere unterstützenden Beweise auf Spam und/oder nicht vertrauenswürdige Aktivitäten von der Domäne hinweisen. 

Aktueller Domain-Köder mit Bezug zur Ukraine: Bösartiger Schweregrad (Risikobewertung von 65 oder höher, abhängig von anderen Risikonachweisen, die für die Domain beobachtet wurden.)

  • Die Domain verfügt über eine URL mit bestätigten bösartigen Aktivitäten und/oder Malware, die mit technischen High-Fidelity-Datenquellen verknüpft sind.
  • Die Domain wurde in technischen Untersuchungen der Insikt Group als bösartig eingestuft.
  • Die Domain wurde kürzlich in den letzten 30 Tagen gesehen.
Aktueller Domain-Köder mit Bezug zur Ukraine: Verdächtiger Schweregrad (Risiko-Score von 25 - 64)
  • Die Domain enthält eine URL mit verdächtigen Aktivitäten, die als nicht vertrauenswürdig und/oder Spam-bezogene Aktivität von einer geprüften Sicherheitsquelle eines Drittanbieters gekennzeichnet ist, die hochwirksame technische Daten bereitstellt.
  • Die Domain wurde kürzlich in den letzten 30 Tagen gesehen.
Die Regel altert nach 30 Tagen und wird als historisch verfolgt. 

Vorgeschlagene Maßnahmen

Da die Erkennung von Domänen in dieser Phase früh im Lebenszyklus des Angreifers erfolgt, ermöglicht diese Regel den Verteidigern, Kontrollen in frühen Phasen zu implementieren und Angreifern einen Schritt voraus zu sein. Es kann von Security Operations Centern, Incident Respondern und Bedrohungsjägern verwendet werden, um Phishing-Angriffe, Watering-Hole-Angriffe, Drive-by-Downloads und Social-Engineering-Versuche von böswilligen Akteuren zu erkennen und zu verhindern, um Opfer dazu zu verleiten, auf bösartige Websites zu klicken, die Informationen über die Ukraine enthalten, was es den Akteuren letztendlich ermöglicht, beliebigen Code auszuführen und Daten zu stehlen. 
Der böswillige Schweregrad kann es der Sicherheitstechnik ermöglichen, den Ukraine-bezogenen Indikator oder die Risikoliste in eine Integration bei Perimeter-Eingangs-/Ausgangskontrollen (Firewalls, Web-Gateways, Proxys usw.) zu implementieren. Die Risikoliste kann auch nützlich sein, um sie in einem SIEM für Bedrohungsjäger und/oder Incident Responder zu implementieren, um Pivot-Punkte gegen andere Indikatoren zu finden, um zusätzliche gelöschte Dateien, gestartete übergeordnete/untergeordnete Prozesse, ungewöhnliche IP-Adressen kontaktiert, URLs usw. nach der ersten Entdeckung der Bedrohung zu finden. 

Anmerkung:  Die Risikoregel für die Köderung von Domains in der Ukraine wird kontinuierlich weiterentwickelt und von den Teams von Recorded Future Data Science & Research für neu registrierte Domains vorangetrieben, wobei Verbesserungen bei der Automatisierung von Urteilen über böswillige Verurteilungen aus Drittquellen vorgenommen werden.