Domain Shadowing

Para peneliti keamanan menemukan bahwa fenomena domain shadowing mungkin lebih masif daripada yang diperkirakan sebelumnya, dengan terungkapnya 12.197 kasus yang terjadi antara April dan Juni 2022.

Domain shadowing adalah subkategori pembajakan DNS, di mana pelaku mengkompromikan DNS dari domain yang sah untuk meng-host subdomain mereka sendiri

Pada langkah selanjutnya, domain bayangan ini digunakan dalam aktivitas jahat tetapi tidak mengubah entri DNS yang sah yang sudah ada.

Baca juga: Indicator of Compromise

Cara Kerja Domain Shadowing

Pertama, penjahat dunia maya mendapatkan akses ke akun pemilik domain melalui phising, serangan kamus, atau metode lain.

Selanjutnya, mereka membuat sejumlah besar subdomain yang dapat digunakan satu per satu untuk tindakan jahat dan kemudian dibuang.

Dalam banyak kasus, alamat yang digunakan diganti secara otomatis untuk mempercepat rotasinya dan dengan demikian menghindari deteksi.

Subdomain ini kemudian digunakan untuk membuat halaman berbahaya di server penjahat dunia maya sementara halaman web situs pemilik domain dan catatan DNS tetap tidak berubah, dan pemiliknya tidak menyadari bahwa mereka telah dilanggar.

Halaman berbahaya yang ditautkan ke URL di-host di server peretas dan sama sekali tidak terkait dengan sumber daya Web korban.

Mereka tidak menautkan ke halaman mana pun di situs utama, juga tidak menautkan situs utama ke subdomain.

Pada gilirannya, pengguna mungkin tidak menyadari bahwa mereka berada di situs yang mencurigakan, karena bilah alamat menampilkan domain utama yang memiliki reputasi baik.

Pemilik domain mungkin juga tidak mengetahui penyusupan akun dan subdomain berbahaya. Selain itu, subdomain dapat pelaku gunakan untuk:

  • Menghosting halaman phishing untuk mencuri detail bank, kata sandi, dan data pribadi;

  • Mendistribusikan malware dan melakukan cryptojacking;

  • Mengarahkan pengguna ke sumber daya kriminal lain.

  • Menyalahgunakan reputasi baik domain yang dibajak untuk melewati pemeriksaan keamanan.

Baca juga: Enkripsi Intermiten

Sulit Dideteksi

Namun masalahnya untuk mendeteksi kasus dari domain shadowing tidak semudah itu bagi perusahaan apalagi individu.

Para analis sendiri menyebutkan bahwa VirusTotal hanya menandai 200 domain sebagai berbahaya dari 12.197 domain yang ditemukan.

Sebagian besar (151) deteksi VirusTotal terkait dengan kampanye phising tunggal menggunakan jaringan 649 domain bayangan di 16 situs web yang disusupi.

Dapat disimpulkan dari hasil ini bahwa domain shadowing atau domain bayangan merupakan ancaman aktif bagi perusahaan terlebih lagi individu.

Domain bayangan sulit dideteksi tanpa memanfaatkan algoritme mesin pembelajaran otomatis yang dapat menganalisis log DNS dalam jumlah besar.

Selain itu, halaman phishing yang dihosting di domain dengan reputasi baik akan tampak dapat dipercaya oleh pengunjung, menyebabkan mereka lebih cenderung mengirimkan data pada halaman tersebut.

Baca juga: Doxing

Membayangi Kampanye Phising

Kampanye phising yang ditemukan oleh para peneliti mengkompromikan 16 domain untuk membuat 649 subdomain, menghosting halaman login palsu atau titik pengalihan ke halaman phising.

Subdomain yang mengarahkan ulang ke situs phising dapat dengan mudah melewati filter keamanan email karena mereka tidak menghosting sesuatu yang berbahaya dan memiliki reputasi yang baik.

Pelaku ancaman menargetkan kredensial akun Microsoft, dan meskipun URL jelas tidak terkait dengan Microsoft, itu tidak akan memicu peringatan dari alat keamanan internet.

Dalam satu kasus, pemilik domain menyadari kompromi tersebut, tetapi tidak sebelum banyak subdomain telah dibuat dan memfasilitasi operasi jahat pada infrastruktur mereka.

Meskipun perlindungan dari subdomain nakal adalah tanggung jawab pemilik domain, pendaftar, dan penyedia layanan DNS, akan lebih bijaksana bagi pengguna untuk selalu waspada saat mengirimkan data.

Ini termasuk kemungkinan subdomain pada domain terkenal bisa berbahaya, karenanya pengguna harus memeriksa ulang semuanya sebelum mereka mengirimkan informasi sensitif.

 

Baca lainnya: 

 

Sumber berita:

Bleeping Computer