23/08/19
Специалисты подразделения Unit 42 компании Palo Alto Networks рекомендовали системным администраторам блокировать пользователям доступ к доменам, существующим менее 32 дней.
Эксперты из Unit 42 провели исследование, посвященное недавно зарегистрированным доменам (НЗД), и выяснили, что более 70% из них являются «подозрительными», «небезопасными для работы» или «вредоносными».
«Из-за возможных ложноположительных результатов данная мера может показаться слишком агрессивной, однако угроза, представляемая некоторыми НЗД, может быть гораздо большей. Если доступ к НЗД разрешен, то как минимум нужно добавить оповещения для лучшей видимости», – считают исследователи.
Согласно данным исследования, только 8,4% от всех НЗД, созданных в марте-мае нынешнего года в 1530 доменах верхнего уровня, оказались безопасными. 2,31% были классифицированы как «небезопасные для работы», а 1,27% – как «вредоносные» (содержали вредоносное ПО, использовались для фишинга, хранили инструменты для управления вредоносным ПО и пр.).
60,73% доменов исследователи признали «подозрительными». Они были припаркованы, содержали слишком мало контента для проверки, вызывали спорные вопросы или казались небезопасными. 18,2% попали в категорию «Другие».
Проще говоря, около трети НЗД были либо подозрительными, либо откровенно опасными. В связи с этим польза от блокировки доступа превышает возможные неудобства, считают в Unit 42.
«Как показал проведенный нами анализ, срок в 32 дня является оптимальным для того, чтобы отметить домен как вредоносный», – отметили эксперты. По их словам, скрупулезные системные администраторы могут пойти еще дальше и заблокировать доступ к доменам в зонах .to, .ki и .nf из-за высоко риска того, что они могут оказаться вредоносными. Домены верхнего уровня .com или .org, скорее всего, содержат легитимный контент.
Парковка доменов – регистрация доменного имени на DNS-серверах, предоставляющего парковку сервиса без использования домена по прямому назначению.
