도메인 위험 규칙: 우크라이나 분쟁 관련 도메인 미끼
우크라이나 사태로 인해 피싱이 공격 기법으로 급부상하면서 대규모 사이버 보안 위협이 발생했습니다. 피싱은 부정적인 뉴스와 재난에 대한 높은 관심을 악용하여 피해자를 악성 웹 페이지로 유인합니다.
레코디드 퓨처는 현재 신규 등록 도메인과 하위 도메인을 포함하여 우크라이나 관련 신규 도메인을 매일 관찰하고 있습니다. 이러한 도메인 중 일부는 중요한 공공 서비스이고, 일부는 양성 도메인이며, 일부는 악의적인 도메인입니다. 보안 인텔리전스 플랫폼은 이러한 도메인을 화이트리스트에서 자동으로 확인하고, 악의적이라는 기술적 증거가 있는지 평가하며, 미끼 도메인으로 확인된 일부 도메인에 대해 명확하게 설명합니다.
규칙 트리거링 및 심각도 수준
우크라이나 관련 도메인 미끼에는 두 가지 규칙이 있습니다.이러한 규칙은 도메인에 특정 키워드가 존재하고 해당 도메인이 악의적인 목적으로 사용되고 있음을 나타내는 기술 데이터도 관찰될 때 트리거됩니다. 악의적 평결은 독점적인 출처에서 얻은 증거가 악의적인 활동을 나타내는 경우에 적용됩니다. 의심스러운 심각도는 도메인의 스팸 및/또는 신뢰할 수 없는 활동을 나타내는 증거가 있는 경우 적용됩니다.
최근 우크라이나 관련 도메인 미끼: 악성 심각도(도메인에 대해 관찰된 다른 위험 증거에 따라 위험 점수 65점 이상).
- 도메인에 고충실도 기술 데이터 소스에서 확인된 악성 활동 및/또는 멀웨어가 연관된 URL이 있습니다.
- 인식트 그룹에서 실시한 기술 조사에서 이 도메인은 악성 도메인으로 확인되었습니다.
- 이 도메인은 지난 30일 동안 최근에 확인된 도메인입니다.
최근 우크라이나 관련 도메인 미끼: 의심스러운 심각도(위험 점수 25 - 64)
- 도메인에 의심스러운 활동이 있는 URL이 있고, 신뢰할 수 없는 활동 및/또는 스팸 관련 활동으로 태그가 지정되어 있으며, 검증된 타사 보안 소스에서 높은 효율의 기술 데이터를 제공합니다.
-
이 도메인은 지난 30일 동안 최근에 확인된 도메인입니다.
규칙은 30일 후에 만료되며 기록으로 추적됩니다.
권장 조치
이 단계의 도메인 탐지는 공격자 수명 주기 초기에 이루어지므로 방어자는 이 규칙을 통해 초기 단계에서 제어를 구현하고 공격자보다 앞서나갈 수 있습니다. 보안 운영 센터, 사고 대응자, 위협 헌터가 피싱 공격, 워터링 홀 공격, 드라이브 바이 다운로드, 악의적인 공격자가 우크라이나에 대한 정보가 포함된 악성 사이트를 클릭하도록 피해자를 유인하여 궁극적으로 공격자가 임의의 코드를 실행하고 데이터를 탈취하려는 소셜 엔지니어링 시도를 탐지 및 방지하는 데 사용할 수 있습니다 .
악성 심각도에 따라 보안 엔지니어링에서 우크라이나 관련 지표 또는 위험 목록을 경계 진입/출입 제어(방화벽, 웹 게이트웨이, 프록시 등)에 통합하여 구현할 수 있습니다. 위험 목록은 위협 헌터 및/또는 사고 대응자가 위협을 처음 발견한 후 삭제된 파일, 상위/하위 프로세스 시작, 비정상적인 IP 주소 접촉, 접속한 URL 등을 찾기 위해 다른 지표와 비교하여 피벗 포인트를 찾기 위해 SIEM에서 구현하는 데에도 유용할 수 있습니다.
참고: 우크라이나 관련 도메인 미끼 위험 규칙은 지속적으로 진화하고 있으며, 기록된 미래 데이터 과학 & 연구팀에서 신규 등록 도메인에 대한 타사 출처의 악의적 유죄 판결을 자동화하는 개선 사항을 통해 주도하고 있습니다.