Последние два года я занимаюсь реагированием на инциденты и анализом угроз, и описываемая мной закономерность постоянно всплывает в случаях, которые должны были быть отсечены на уровне почтового шлюза. Меняются семейства вредоносных комплектов. Меняются шаблоны фишинговых приманок. Постоянным остается одно: операторы фишинга как услуги приобретают старые легитимные домены и повторно используют их для кражи учетных данных у корпоративных и государственных целей.
Последний инцидент, которым я занимался, включал развертывание Sneaky2FA на 117 исходных серверах в Канзас-Сити, штат Миссури, распределенных между двумя хостинг-провайдерами. Оператор использует одну и ту же инфраструктуру уже более двух лет и нацеливает приманки на смесь государственных структур Великобритании и США, энергетических компаний и малого и среднего бизнеса в сфере здравоохранения США. Торговая тактика с использованием старых доменов, которую я сейчас опишу, — это один из способов, которым этот оператор остается внутри корпоративных сред, которые должны его блокировать. Журналы прозрачности сертификатов рассказывают всю историю и объясняют, почему классификатор репутации его не обнаружил.
Как репутация с учетом возраста стала слепым пятном
Большинство корпоративных почтовых фильтров от ведущих поставщиков, включая Microsoft Defender for Office 365, Proofpoint, Mimecast и Cisco Talos, в значительной степени учитывают возраст домена при принятии решений о классификации. Недавно зарегистрированный .com немедленно получает штрафы за репутацию. Домен с годами стабильного хостинга, последовательной выдачей сертификатов и чистой историей DNS рассматривается как низкорисковый. Логика имела смысл десять лет назад, когда доминировали вновь созданные домены для злоупотреблений, составлявшие инфраструктуру фишинга, а старые домены обычно означали устоявшиеся малые предприятия.
Я работаю с рядом корпоративных сред, которые платят за самые дорогие уровни защиты электронной почты, но все равно получают фишинговые приманки во входящих письмах пользователей. Когда я отслеживаю эти приманки до родительских доменов, все большая их доля демонстрирует одну и ту же закономерность. Долгосрочная стабильная история сертификатов до определенного момента в 2024 или 2025 году. Перерыв в несколько месяцев без выдачи новых сертификатов. Затем сертификаты снова начинают появляться для субдоменов, не имеющих никакого отношения к исходному бренду. Оценка репутации этих доменов высока. Инфраструктура за ними — преступная. Фильтр не видит разницы.
Как на самом деле выглядит приобретение старых доменов
Есть два разумных способа, которыми оператор может приобрести старый домен. Он может «перехватить» (drop-catch) просроченную регистрацию или захватить активный домен путем кражи учетных данных из учетной записи регистратора владельца. Перехват дешевле и сопряжен с меньшим риском. Сервисы вроде DropCatch, SnapNames и GoDaddy Auctions существуют именно для того, чтобы приобретать домены в момент их истечения, и настойчивый оператор может заплатить от 50 до 500 долларов за домен с десятилетней чистой историей.
Домен, который я хочу рассмотреть, я подробно задокументировал в деле Sneaky2FA: digitalscrapbookingfreebies.com. Запись прозрачности сертификатов показывает захват целиком. С 2016 по июль 2025 года история сертификатов выглядит как у обычного блога малого бизнеса, размещенного на cPanel. cPanel Inc. выдавала сертификаты ECC каждые 60–90 дней для стандартных субдоменов cpanel., mail., webdisk. и webmail. Let’s Encrypt R3 выдавал сертификаты для apex и www. каждые 90 дней. Субъекты оставались стабильными на протяжении девяти лет. Кто-то вел любительский блог, предоставляя бесплатные материалы для скрапбукинга небольшой аудитории, и паттерн сертификатов это отражал.
В апреле 2025 года в записи появляются сертификаты GoDaddy. Появление нового центра сертификации после восьми лет бесперебойной работы cPanel плюс Let’s Encrypt — это первый явный сигнал о том, что что-то изменилось на уровне регистратора или хостинга. К июлю 2025 года будет выдан последний сертификат с легитимным паттерном. Затем шесть месяцев тишины, никаких новых сертификатов, никаких продлений. В декабре 2025 года появились свежие сертификаты Let’s Encrypt R13 для субдоменов, которых никогда не было у исходного блога: beds, footboard, haushafin и locklear. К январю 2026 года появился еще один субдомен: nativems-mfl09093004.digitalscrapbookingfreebies.com. Именно этот субдомен я обнаружил активно используемым в фишинге против государственного агентства здравоохранения США.
Исходный владелец блога о скрапбукинге, скорее всего, тоже стал жертвой. Вероятно, он допустил истечение срока регистрации, оператор перехватил домен, и домен перешел в криминальное использование под WHOIS-приватностью, скрывающей нового владельца. Девять лет накопленной репутации теперь служат операциям по краже учетных данных.
Что сделало этот случай обобщаемым, так это то, что тот же оператор использует домен-приманку второго уровня, приобретенный путем свежей регистрации. Эти две стратегии служат разным профилям нацеливания. Оператор использует свежие регистрации, когда сам субдомен может нести доверие, например, субдомен, имитирующий корпоративную конечную точку аутентификации, где родительский домен не выполняет большой работы. Оператор использует приобретение старых доменов, когда сама репутация домена должна выполнять работу, когда приманка проходит через корпоративный почтовый фильтр, который оценивает по возрасту. Выбор контекстуален.
Почему ваш классификатор репутации этого не обнаружит
Оценка репутации предполагает, что история домена отражает владение доменом. Когда владение переходит через перехват или угон, это предположение нарушается. Оценка не сбрасывается. Новый оператор наследует доверие, не наследуя работу, которая его создала. Большинство систем репутации также придают больший вес продолжительности чистой истории, чем недавним изменениям в моделях владения, что усугубляет проблему. Девятилетний домен, который тихо меняет владельцев, продолжает оцениваться как девятилетний домен.
Сигналы, которые действительно могли бы обнаружить захват (смена эмитента CA, шестимесячный пробел в сертификатах, внезапный список слов для новых субдоменов, не имеющий ничего общего с исходным брендом), не являются функциями в большинстве классификаторов, взвешивающих возраст.
Лучший подход к обнаружению должен учитывать стабильность паттерна хостинга. Домен, чья хостинговая инфраструктура резко меняется, более подозрителен, чем домен, чей паттерн продолжается без перерыва, а события, на которые вы хотите среагировать, конкретны: появление нового CA после многих лет стабильной выдачи, пробел в продлении сертификатов, за которым следует новая выдача, или изменение CDN без законной причины владения. Большинство систем репутации ничего этого не отслеживают, потому что оценка представляет собой одно число, а не метрику стабильности.
Аномалия в списке слов субдоменов — это вторая ось. Когда долго стабильный домен о скрапбукинге внезапно выдает сертификаты для субдомена с именем nativems-mfl09093004, несоответствие между исходным брендом и новым именованием обнаруживается поведенчески, даже когда все остальные сигналы терпят неудачу.
Третий аспект — мониторинг прозрачности сертификатов. Журналы CT являются общедоступными, их можно запрашивать, и они обновляются в течение нескольких часов. Я восстановил всю хронологию захвата digitalscrapbookingfreebies.com, используя только общедоступные данные CT. Не потребовалась коммерческая лента угроз. Команды безопасности, которые подписаны на ленты журналов CT для своих списков блокировки, могут обнаружить субдомены, развернутые операторами, в течение нескольких часов после выдачи, что часто происходит задолго до того, как они появятся в любой коммерческой ленте угроз.
Если бы я завтра занимался корпоративной защитой электронной почты, первое, что я бы изменил, — это перестал бы рассматривать возраст домена как основной сигнал. Приобретение старых доменов — это уже документированная тактика. Sekoia об этом сообщала. Centripetal сообщала об этом. Мое собственное исследование этого случая Sneaky2FA добавляет еще один пример. Любая система репутации, которая сильно взвешивает возраст, имеет известный способ обхода, а это значит, что возраст должен быть одним из нескольких сигналов, а не доминирующим.
Логика обнаружения, которая работает, — это та, которую я описал выше: стабильность паттерна хостинга, аномалия в списке слов субдоменов и мониторинг журналов CT. Девятилетний любительский блог, внезапно размещающий страницы аутентификации в стиле Microsoft, обнаруживается поведенчески, даже когда возраст домена не помогает аналитику. Некоторые поставщики CTI начинают предлагать это как возможность. Спросите своего поставщика, на каком он этапе, и получите реальный ответ, а не маркетинговый. Мониторинг журналов CT дешев и позволяет обнаружить инфраструктуру оператора в течение нескольких часов после выдачи, что является одним из наиболее эффективных шагов, которые может предпринять небольшая команда безопасности.
Операторы обнаружили слепое пятно. Они будут продолжать покупать старые домены до тех пор, пока эти домены работают. Устранение этого разрыва не требует новой линейки продуктов. Это требует, чтобы мы придавали собранным нами сигналам соответствующий вес.
Полное исследование по делу Sneaky2FA, включая методологию, IOC и написанные мной правила обнаружения, доступно на моем GitHub.
Эта статья публикуется в рамках сети экспертных авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Yanky Wilson
