Каждый пятый спящий домен потенциально опасен либо откровенно вредоносен

Татьяна Никитина 30 Декабря 2021 - 19:30

...

Эксперты подразделения Unit42 компании Palo Alto Networks представили результаты мониторинга трафика в доменах, которые долго не подавали признаки жизни и вдруг проснулись. Как оказалось, 22,27% давно созданных сайтов являются вредоносными, подозрительными или небезопасными для работы.

Исследование было запущено после того, как выяснилось, что в ходе атаки на SolarWinds троян использовал DGA для вывода данных целевых систем в поддомены. Специалистов заинтересовала проблема своевременного выявления доменов, которые злоумышленники регистрируют и оставляют в бездействии — зарабатывать чистую репутацию к моменту атаки, чтобы обмануть защитные фильтры.

Весь сентябрь эксперты мониторили дремлющие хосты, фиксируя динамику DNS-трафика. Оказалось, что заготовленные впрок домены легитимных компаний оживают постепенно, а в тех, что принадлежат киберкриминалу, трафик может за сутки возрасти в 10 раз.

Именно характер таких изменений и позволил исследователям в среднем идентифицировать по 26 тыс. потенциально опасных хостов в сутки. К концу наблюдений выяснилось, что 3,8% таких находок откровенно вредоносные, 19% подозрительны, а 2% ненадежны в качестве рабочей среды.

Кроме внезапного и резкого взлета трафика, верными признаками злого умысла в создании стратегического запаса, по словам экспертов, являются скудный / скопированный / невразумительный контент, отсутствие данных заявителя в базе WHOIS и наличие множества сгенерированных по DGA поддоменов.

Злоумышленники обычно используют DGA, чтобы уберечь свои C2-серверы от обнаружения. Мониторинг на основе только этого признака ежедневно приносил по два положительных результата; при их пробуждении сразу объявлялись сотни тысяч поддоменов. Яркий пример тому — летняя кампания Pegasus; два его C2-домена были зарегистрированы в 2019 году, а проснулись в минувшем июле, с высоким процентом DGA-трафика (23,22% на старте, 42,04% спустя пару дней, по данным Palo Alto).

Созданные по DGA домены используют также фишеры — тоже для маскировки, как прокси-слой для разделения трафика поисковых ботов и аналитиков (направляются на легитимные сайты) и потенциальных жертв (направляются на страницы-ловушки).

Наконец, DGA используется в целях так называемой черной оптимизации. Мошенники связывают между собой множество веб-страниц на одном и том же IP-адресе с тем, чтобы повысить рейтинг хоста в поисковой системе.

Репутационные фильтры обычно уделяют почтенным доменам меньше внимания, чем новичкам, которых они априори считают подозрительными. Исследование Palo Alto показало, что домены, спящие много месяцев, а то и пару лет, могут преподнести неприятный сюрприз с большей вероятностью — по оценке экспертов, раза в три.

Следующая главная новость »

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 23 Апреля 2026 - 13:32

Эксплойты Уязвимости программ Домашние пользователи Корпорации

Дыра в Qualcomm Snapdragon открыла путь к полной компрометации устройств

Эксперты Kaspersky ICS CERT обнаружили аппаратную уязвимость в чипсетах Qualcomm Snapdragon, которые используются в целом спектре устройств — от смартфонов и планшетов до автомобильных компонентов и устройств интернета вещей. Проблема находится в BootROM, то есть в загрузочной прошивке, встроенной на аппаратном уровне. И это уже звучит неприятно: если дыра сидит так глубоко, то и последствия могут быть весьма серьёзными.

О результатах исследования специалисты рассказали на конференции Black Hat Asia 2026.

Главный нюанс в том, что атака не удалённая: злоумышленнику нужен физический доступ к устройству. Его необходимо подключить кабелем к своему оборудованию, а в случае современных смартфонов ещё и перевести в специальный режим.

Но расслабляться на этом месте рано. Для некоторых устройств даже обычное подключение к недоверенному USB-порту — например, на зарядной станции в аэропорту или отеле — уже может быть рискованным сценарием.

Если атаку удастся провести успешно, последствия могут быть очень неприятными. Речь идёт не только о доступе к данным на устройстве, но и о возможности добраться до камеры, микрофона и других компонентов. В отдельных случаях злоумышленник способен получить фактически полный контроль над устройством.

Уязвимость затрагивает чипсеты Qualcomm серий MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 и SDX50. Уязвимость получила идентификатор CVE-2026-25262.

При этом исследователи отдельно отмечают, что потенциально проблема может касаться и решений других производителей, если те построены на чипсетах Qualcomm указанных серий.

В центре исследования оказался протокол Qualcomm Sahara — это низкоуровневая система взаимодействия, которая используется при переводе устройства в режим экстренной загрузки, или EDL. Такой режим обычно нужен для ремонта, восстановления или перепрошивки. По сути, он позволяет компьютеру подключиться к устройству ещё до запуска операционной системы и загрузить нужный софт.

Именно здесь, как показало исследование, и скрывается опасное окно возможностей. По словам специалистов, уязвимость в процессе загрузки может позволить обойти ключевые механизмы защиты, нарушить цепочку доверенной загрузки и в некоторых случаях установить вредоносную программу или бэкдор прямо в процессор приложений. А это уже прямая дорога к полной компрометации устройства.

Самым сложным этапом в такой атаке остаётся создание эксплойта. Но если он уже разработан, дальнейшая эксплуатация может проходить быстро и не требовать от злоумышленника с физическим доступом какой-то особой квалификации.

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!