Les sinkholes sont la raison pour laquelle vous voyez des entreprises enregistrer une multitude de noms de domaine étranges.
Palo Alto Networks Inc a obtenu aujourd’hui un brevet concernant le sinkholing de domaines, qui est une continuation d’un brevet accordé en 2016.
Cela m’a rappelé les fois où j’ai vu des entreprises (en particulier Microsoft) enregistrer une multitude de noms de domaine insensés. Pourquoi une entreprise enregistrerait-elle beaucoup de domaines avec des chiffres et des lettres aléatoires ?
La réponse est souvent qu’il s’agit d’un sinkhole.
Un sinkhole redirige ou bloque le trafic destiné à une destination. Ils sont utilisés par la communauté de la sécurité pour arrêter le trafic de botnets, le phishing et d’autres activités malveillantes.
Il y a plusieurs façons de créer un sinkhole. Un fournisseur d’accès internet peut simplement détourner le trafic de l’adresse IP que vous voyez dans Whois vers une autre. Une entreprise (ou le gouvernement) peut aussi passer par la justice pour obtenir le contrôle d’un nom de domaine puis en changer les serveurs de noms.
Certaines campagnes de malwares enregistrent continuellement de nouveaux noms de domaine à mesure que leurs autres noms sont supprimés et bloqués par les sociétés de sécurité. Il est parfois possible de deviner quelles seront les futures inscriptions de domaine, et c’est là que vous pouvez voir une entreprise enregistrer une longue liste de noms de domaine bizarres. Ils savent quels domaines le malware enregistrera ensuite, donc l’entreprise enregistre ces domaines pour empêcher qu’ils soient enregistrés par les mauvais acteurs.
Un exemple célèbre d’enregistrement d’un domaine pour bloquer une attaque était le nom de domaine iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea(.)com. Une personne étudiant le ransomware WannaCry a remarqué ce domaine dans le malware et l’a enregistré. Il s’avère que l’enregistrement de ce domaine a agi comme un kill switch. Le malware était programmé pour vérifier ce domaine et s’arrêter si le domaine était enregistré.
Bien que l’exemple de WannaCry ne soit pas un sinkhole typique, il est intéressant de réfléchir à la manière dont les noms de domaine sont utilisés pour propager les malwares et les botnets, et comment l’enregistrement de domaines peut contrecarrer les mauvais acteurs.
Source de domainnamewire.com, auteur ANDREW ALLEMANN
Actualités suivantes: Abandonner un nom de domaine peut vous causer des ennuis, montre une étude
