Top 10 DDNS med malware relationer i 2023

2023-12-26

Mange moderne malware som indeholder dataindsamlende funktionalitet gør også brug af fjernbetjening af kompromittering Windows maskiner via en reverse connect. Af praktiske grunde er det nemt for de it-kriminelle har oprette disse skadelige domæner også kendt som Command & Control (C&C) via gratis dynamiske DNS udbydere (DDNS).

Et lille udsnit af malware, som hyppigt gør brug af dynamisk DNS til C&C kontrol omfatter bl.a. Amadey, Formbook, StealC, RiseProStealer, DCRat, RedlineStealer, SnakeKeylogger, OrcusRAT, MarsStealer, njRAT, N-W0rm m.fl.
Når jeg i løbet af 2023 har analyseret malware i disse familier har jeg samtidig også systematisk udtrukket C&Cs med det formål, at kunne blokere dem i gateways, DNS, firewalls, eller levere dem som et IoC feed.

For 2023 ser top 10 listen for malware C&Cs, hostet hos dynamiske DNS udbydere, ud som følgende:

1) ddns.net
2) hopto.org
3) duckdns.org
4) zapto.org
5) sytes.net
6) linkpc.net
7) afraid.org
8)
no-ip,org
9) no-ip.biz
10) publicvm.com

Med DDNS kan man nemt hoste C&Cs derhjemme, eller via en hosting service og det er samtidig gratis. Det er også en af mange grunde til at det er så populært og særligt blandt script kiddies.

Man kan overveje om det var en ide at blokere DDNS udbydere når det handler om enterprise netværk, men man skal være opmærksom på, før man laver sådan et indgreb, at det potentielt kan forhindre adgang til legitimt indhold.