Fors meer cyberdreigingen via DNS

Het rapport is gebaseerd op telemetrie in de aanloop van aanvallen en realtime analyse van DNS-verzoeken uit duizenden klantomgevingen, goed voor meer dan 70 miljard DNS-query’s per dag. Het geeft inzicht in de wijze waarop aanvallers DNS gebruiken voor het misleiden van gebruikers en ontwijken van detectie.

“De bevindingen van dit jaar laten zien hoe kwaadwillenden DNS benutten om hun campagnes uit te voeren. Ze registreren enorme hoeveelheden domeinnamen en maken misbruik van DNS-misconfiguraties om bestaande domeinen over te nemen en gerenommeerde merken te imiteren”, aldus Dr. Renée Burton, hoofd van Infoblox Threat Intel. “Het rapport brengt onder andere het veelvuldig gebruik van traffic distribution systems (TDS) aan het licht, waarmee criminelen hun sporen verbergen. Dit is één van de trends waar securityteams scherp op moeten blijven om aanvallers voor te zijn.”

Ruim 204.000 verdachte domeinclusters

Infoblox Threat Intel heeft sinds de oprichting meer dan 660 unieke dreigingsactoren geïdentificeerd en ruim 204.000 verdachte domeinclusters in kaart gebracht. In de afgelopen twaalf maanden hebben de onderzoekers gepubliceerd over tien nieuwe actoren, met speciale aandacht voor de omvang en impact van malafide adtech.

Het rapport bundelt de belangrijkste bevindingen van het afgelopen jaar. Van de 100,8 miljoen nieuw ontdekte domeinen in het afgelopen jaar, bleek 25,1% verdacht of kwaadaardig. 95% van de dreigingsgerelateerde domeinen werden in slechts één klantomgeving ontdekt, wat laat zien hoe uitdagend het is voor de securitysector om dreigingen te detecteren en stoppen.

Malafide adtech

82% van de bestudeerde klantomgevingen maakte DNS-verzoeken naar domeinen die gelinkt zijn aan malafide adtech. Deze domeinen worden in hoog tempo gerouleerd om beveiligingsmaatregelen te omzeilen en schadelijke content uit te serveren.

De afgelopen 12 maanden werden binnen de door Infoblox gemonitorde netwerken bijna 500.000 TDS-domeinen gedetecteerd. Maandelijks werden meer dan 750 unieke domeinen voor DNS-tunneling gedetecteerd, vaak met behulp van tools als Cobalt Strike, Sliver en Iodine. Dagelijks werd DNS-tunneling, exfiltratie en command & control (C2) gedetecteerd, inclusief Cobalt Strike, Sliver en aangepaste tools, die ML-algoritmen vereisen voor detectie.

Geautomatiseerde registratieprocessen

Cybercriminelen registreren, activeren en gebruiken voortdurend nieuwe domeinen, veelal in zeer grote sets en met behulp van geautomatiseerde registratieprocessen. Door een groot aantal domeinen te gebruiken, kunnen criminelen traditionele, forensische beveiliging omzeilen. Deze systemen zijn gebaseerd op het “patient zero”-principe, dat organisaties pas beschermt nadat dreigingen ergens anders zijn gedetecteerd en geanalyseerd. Maar gezien aanvallers steeds vaker infrastructuur voor eenmalig gebruik inzetten, schiet deze aanpak tekort. Organisaties blijven hierdoor kwetsbaar. Deze domeinen worden ingezet voor uiteenlopende kwaadaardige doeleinden, van phishingpagina’s tot het verspreiden van malware via drive-by downloads, en van frauduleuze activiteiten tot nepsites voor cryptobeleggingen.

De bevindingen in het onderzoeksrapport onderstrepen de noodzaak voor organisaties om proactief te handelen tegen aanvallers die AI inzetten. Investeren in preventieve security kan het verschil maken in het afweren van cyberdreigingen. Dankzij voorspellende threat intelligence heeft de Protective DNS-oplossing in het verleden bijvoorbeeld 82% van dreigingsgerelateerde verzoeken weten te blokkeren voordat ze impact maakten. Proactieve bescherming, in combinatie met voortdurende monitoring van opkomende dreigingen, geeft securityteams de hulpmiddelen om aanvallers een stap voor te blijven en hun eindeloze voorraad domeinen effectief te dwarsbomen.

Download hier het volledige Infoblox DNS Threat Landscape Report 2025.