Bagian blog ini menguraikan proses analisis data terperinci dan metodologi kami. Sumber publikasi OSINT merilis pengungkapan tentang Coral Raider pada Februari 2024, yang memberikan daftar lengkap domain jahat.
Infoblox kemudian mengekstrak domain jahat yang diidentifikasi dalam sumber-sumber OSINT ini. Tim Infoblox kemudian menganalisis domain-domain jahat yang diidentifikasi untuk menentukan apakah mereka telah diidentifikasi sebelumnya oleh umpan domain mencurigakan kami.
Infoblox mengidentifikasi 94,12% dari domain jahat Coral Raider sebagai mencurigakan, rata-rata 76,8 hari sebelum ketersediaan OSINT. Demikian pula, Infoblox mengidentifikasi banyak domain jahat dalam waktu 2 hingga 3 hari setelah registrasi WHOIS mereka. Hal ini memungkinkan pelanggan kami untuk menghentikan eksekusi Rantai Serangan Siber yang dimaksud dengan secara otomatis memblokir akses ke domain-domain berbahaya tersebut.
Tim kami meneliti setiap domain jahat yang diidentifikasi dalam OSINT di portal Dossier Infoblox. Kami meninjau fitur timeline kami untuk mengekstrak tanggal-tanggal awal yang terkait dengan penetapan mencurigakan Infoblox. Kami juga mengekstrak informasi WHOIS untuk konteks tambahan.
Ancaman Coral Raider aktif sebelum data OSINT dirilis. Identifikasi awal kami terhadap domain-domain ini memberikan data timeline yang meyakinkan. Tim kami menemukan bahwa dalam banyak kasus, para pelaku ancaman sudah meningkatkan aktivitas mereka segera setelah penetapan kami sebagai mencurigakan, jauh sebelum keterlihatan untuk masyarakat umum melalui ketersediaan OSINT.
Beberapa domain berbahaya dalam cloud data kami telah diquery dan diblokir dalam beberapa hari hingga beberapa minggu setelah penetapan awal sebagai SUSPICIOUS. Jadi, para pelaku ancaman aktif dan kemungkinan berhasil beroperasi beberapa bulan sebelum informasi OSINT tersedia, kecuali jika Anda menggunakan feed domain berbahaya SUSPICIOUS dari Infoblox Threat Intel.
Kesimpulan dari analisis kami menggambarkan potensi manfaat dari feed domain yang dicurigai:
– 94,12% domain Coral Raider diidentifikasi sebagai dicurigai oleh Infoblox rata-rata 76,8 hari (2,52 bulan) sebelum penetapan OSINT sebagai jahat tersedia. Kelompok domain yang sama diidentifikasi dalam 2 hingga 3 hari setelah tanggal registrasi domain WHOIS.
– Program deteksi dini DNS kami mengidentifikasi domain yang mencurigakan beberapa minggu hingga bulan, seperti dalam kasus ini, sebelum identifikasi OSINT sebagai jahat.
– Terdapat seringkali periode waktu yang cukup panjang dari ketersediaan melalui OSINT hingga pemanfaatan dalam ekosistem keamanan siber dan strategi pertahanan dalam kedalaman. Penunjukan domain yang dicurigai oleh Infoblox Threat Intel dapat terhubung ke otomatisasi untuk segera memblokirnya.
Tanggal publikasi OSINT kadang-kadang tidak jelas atau kurang tepat. Tanggal terbit artikel yang diterbitkan oleh pihak ketiga yang terpercaya terkadang tidak selalu mencerminkan ketersediaan OSINT dari setiap domain. Titik pentingnya adalah bahwa meskipun Anda memiliki data OSINT, data tersebut harus menyebar melalui feed ancaman yang Anda gunakan dan ekosistem keamanan cyber Anda untuk mendukung kebijakan yang dapat dijalankan. Semua proses ini diotomatisasi dengan Infoblox DNS Detection and Response (DNSDR) dan data domain mencuriganya.
Perbandingan dengan data Whois
Pelaku ancaman di balik sebagian besar kampanye telah belajar untuk terus-menerus membuat dan mengubah domain yang mereka gunakan untuk menyamarikan aktivitas jahat mereka. Domain-domain baru diterbitkan setiap hari. Salah satu domain kunci yang digunakan dalam kampanye Coral Raider dapat ditutup kapan saja dan digantikan dengan infrastruktur baru. Infoblox DNS Early Threat Detection memberikan keunggulan penting bagi para pembela keamanan cyber Anda.
Program Deteksi Dini DNS Intel Ancaman Infoblox
Program Deteksi Dini DNS Intel Ancaman Infoblox menggunakan teknik properti untuk mengidentifikasi domain-domain yang berpotensi JAHAT dengan lebih cepat dibandingkan teknologi lainnya. Infoblox menandai domain-domain ini sebagai SUSPECT sehingga para pembela Anda dapat secara otomatis memblokirnya, sering kali berminggu-minggu hingga bulan sebelum OSINT menetapkan mereka sebagai jahat.
Infoblox Threat Intel dapat mendeteksi domain-domain jahat ini lebih awal, jauh sebelum mereka tersedia dalam Open Source Intelligence (OSINT) atau feed komersial sebagai jahat. Kami menandai domain-domain ini sebagai SUSPECT pada tahap awal dan membuatnya tersedia untuk pemblokiran segera. Dengan mengambil pendekatan proaktif ini, para pembela dapat menghentikan serangan hari, minggu, atau bahkan bulan sebelum mereka muncul dalam OSINT atau feed intel ancaman.
Pelaku ancaman terus-menerus menyesuaikan teknik mereka dan sering menggunakan domain-domain jahat untuk meluncurkan serangan berbahaya dan merusak dengan cepat. Begitu tautan ke domain jahat tersebut diklik, Kill Chain bisa dengan cepat berkembang dan merugikan para pembela. Domain-domain jahat ini sering kali terdeteksi dan dibagikan terlalu lambat oleh OSINT dan feed intel ancaman.
Lebih Cepat dengan Infoblox
Deteksi Dini DNS Infoblox menggunakan feed yang mencurigakan dapat membantu SOC Anda mengidentifikasi dan memblokir ancaman berbahaya seperti Coral Raider dengan cepat. Teknologi properti Infoblox Threat Intel dapat mendeteksi domain-domain mencurigakan lebih cepat dibandingkan metode industri saat ini.
Feed domain mencurigakan memberikan keunggulan signifikan dalam mengembangkan dan menggunakan informasi intelijen ancaman DNS. Dengan data domain mencurigakan dari Infoblox, tim operasi keamanan dapat mendapatkan informasi tepat waktu yang mereka butuhkan untuk mencegah dan melawan ancaman baru sebelum menyebabkan kerusakan apa pun.
Cari tau dan konsultasikan dengan kami, hubungi infoblox@ilogoindonesia.id