Pengamatan Ahli dari Garis Depan
Pada tahun 2024, ancaman berbasis DNS berkembang dengan teknik pengelakan dan penyamaran yang lebih canggih. Pelaku ancaman kini menyadari kontrol tingkat lanjut seperti EDR, Firewall Generasi Berikutnya, dan perlindungan cloud yang diterapkan oleh pelanggan. Akibatnya, medan perang mulai bergeser. Aset digital di luar organisasi, seperti domain, menjadi medan pertempuran penting dalam keamanan siber, memungkinkan pelaku ancaman mengakses kredensial, melaksanakan skema penipuan, dan menyebabkan kebocoran data tanpa terdeteksi.
Di Infoblox, kami mengumpulkan miliaran peristiwa DNS dari ribuan organisasi di seluruh dunia. Tim intelijen kami menggabungkan data ini dengan informasi pendaftaran domain, DNS pasif, dan wawasan dari berbagai mitra teknologi untuk membangun gambaran unik tentang penggunaan domain secara berbahaya.
Pada tahun 2024, kami menambahkan 20 juta indikator baru dan memberikan perlindungan rata-rata 63 hari sebelum domain berbahaya digunakan secara aktif. Kami juga mengidentifikasi beberapa aktor DNS baru, sehingga jumlah totalnya mencapai 94. Angka-angka ini menunjukkan bagaimana pelaku terus memanfaatkan DNS dan menyoroti peluang untuk meningkatkan strategi pertahanan mendalam dengan perlindungan berbasis domain. Berikut adalah beberapa pengamatan kunci dari seminar daring terbaru yang dibagikan oleh para ahli Infoblox:
- Proliferasi Algoritma Pembuatan Domain Terdaftar (RDGA)
RDGA adalah mekanisme programatik yang digunakan pelaku ancaman untuk membuat banyak nama domain secara bersamaan atau bertahap. RDGA digunakan untuk berbagai serangan seperti phishing, spam, malvertising, dan eksfiltrasi data. Bahaya utama RDGA adalah sulitnya para peneliti menganalisis dan mengatasi ancaman ini dengan cepat, sementara pelaku ancaman dapat mendaftarkan ribuan domain baru dalam sehari.
Pada tahun 2024, Infoblox menemukan rata-rata 11.000 RDGA baru setiap hari. Dengan pasokan domain baru yang tidak terbatas, pelaku ancaman memanfaatkan situasi ini tanpa hambatan, menjadikan internet tempat yang semakin berbahaya.
Contoh kasus adalah aktor “Prolific Puma” yang mendaftarkan 75.000 nama domain unik untuk menyediakan layanan pemendekan tautan ilegal, menyerupai layanan seperti TinyURL, namun digunakan untuk mengarahkan korban ke situs berbahaya.
- Domain Mirip yang Menipu Pengguna
Domain mirip adalah domain yang menyerupai domain asli untuk menipu pengguna agar mengungkapkan data sensitif seperti kredensial atau informasi pribadi. Teknik ini sering digunakan selama acara besar, seperti Olimpiade atau pemilu, untuk menarik perhatian dan melancarkan penipuan.
Sebagian besar domain mirip ini tetap aktif dalam jangka panjang (lebih dari 1.000 hari), dan daftar pantauan industri hanya efektif memblokir sebagian kecil (20%). Oleh karena itu, diperlukan langkah proaktif untuk mengatasi ancaman ini guna melindungi keamanan online dan reputasi organisasi.
- Penyembunyian Konten Berbahaya dengan Sistem Distribusi Lalu Lintas (TDS)
TDS adalah mekanisme canggih yang digunakan pelaku ancaman untuk mengarahkan korban melalui jaringan domain kompleks, membuat para peneliti sulit melacak aktivitas mereka. Sistem ini memungkinkan pelaku menargetkan audiens tertentu berdasarkan lokasi geografis, jenis perangkat, atau browser.
Pada tahun 2024, Infoblox menemukan lebih dari 600.000 domain yang menggunakan TDS. Separuh dari jaringan pelanggan memiliki interaksi dengan TDS, menunjukkan ancaman yang meluas. Layanan TDS bahkan dijual di dark web kepada afiliasi, menjadikannya sumber pendapatan utama bagi pelaku ancaman.
- Kerentanan Domain yang Ada
Pelaku ancaman sering menyerang domain yang sudah ada melalui serangan “sitting duck,” di mana mereka membajak domain dengan reputasi positif untuk melewati kontrol keamanan.
Pada musim panas 2024, Infoblox menemukan 70.000 domain yang dibajak dari 800.000 domain yang dimonitor. Teknik ini sangat menarik bagi kelompok kejahatan siber karena mudah dilakukan dan sulit dideteksi oleh tim keamanan.
- DNS Tunneling yang Semakin Canggih
DNS Tunneling digunakan untuk melewati firewall dan mengekstrak data. Teknik ini semakin sulit dideteksi karena pelaku sering mengganti domain dan menggunakan periode tenang untuk menghindari alat analisis dinamis.
Pada tahun 2024, DNS Tunneling menjadi masalah global, digunakan baik oleh pelaku ancaman maupun tim pengujian penetrasi. Aktor seperti Alphv/Black Cat yang disebutkan oleh FBI dan CISA, menjadi contoh signifikan dalam eksploitasi ini.
- Misteri di Balik Great Chinese Firewall
Infoblox juga melaporkan aktor canggih bernama “Muddling Meerkat,” yang diduga terkait dengan operasi negara tertentu. Mereka memanfaatkan resolver DNS terbuka dan memanipulasi catatan MX untuk tujuan seperti pemetaan internet.
Perlindungan DNS untuk Pertahanan Mendalam
Penggunaan DNS secara berbahaya tetap kurang dilaporkan dalam industri keamanan karena vendor sering menunggu ancaman muncul sebelum mengambil tindakan. Untuk melindungi data, identitas, dan reputasi organisasi, penting untuk mengintegrasikan perlindungan terhadap penggunaan domain secara berbahaya sebagai bagian dari strategi pertahanan mendalam. Infoblox memungkinkan tim keamanan memblokir lebih dari 75% domain berbahaya sebelum ada interaksi dengan korban, mengurangi beban pada alat dan proses keamanan sekaligus meningkatkan postur keamanan organisasi.
gangguan operasional, misalnya, infrastruktur kritis organisasi diserang melalui serangan rantai pasokan. Selain itu, kerusakan reputasi adalah risiko umum yang dapat terjadi di semua industri.
Untuk mendapatkan keamanan di organisasi anda dari sisi luar, kita membutuhkan cyber threat intelligence produk, untuk itu percayakan produk Cyber Threat Intelligence anda kepada Infoblox Indonesia.