DNS-bedreigingen in 2024: Hoe aanvallers domeinen inzetten

Infoblox concentreert zich op de ruggengraat van iedere netwerkinfrastructuur: de netwerkidentiteitsappliances die zakelijke applicaties met de netwerkinfrastructuur verbinden. Het portfolio van Infoblox omvat onder andere DNS-DHCP Infrastructuur-appliances voor een maximale betrouwbaarheid van de DNS- en DHCP-diensten binnen het netwerk en PORT IQ-appliances voor een volledig inzicht in het gebruik van de netwerkpoorten binnen de infrastructuur.

In 2024 evolueerden DNS-gerelateerde dreigingen met nieuwe ontwijkings- en camouflage-technieken. Cybercriminelen weten dat organisaties geavanceerde beveiligingsmaatregelen zoals EDR, Next-Gen Firewalls en cloudbescherming inzetten. Daarom verschuift het strijdtoneel naar externe digitale assets, zoals domeinen. Deze vormen een belangrijk aanvalsoppervlak, waarmee aanvallers toegang krijgen tot inloggegevens, frauduleuze praktijken uitvoeren en data lekken—vaak zonder gedetecteerd te worden.

Bij Infoblox analyseren we miljarden DNS-gebeurtenissen van duizenden organisaties wereldwijd. We combineren deze data met domeinregistratiegegevens, passieve DNS-informatie en inzichten van technologiepartners om een uniek beeld te vormen van hoe domeinen voor kwaadwillige doeleinden worden gebruikt.

In 2024 voegden we 20 miljoen nieuwe dreigingsindicatoren toe en boden we gemiddeld 63 dagen bescherming voordat een schadelijk domein actief werd ingezet. Ook identificeerden we meerdere nieuwe dreigingsactoren, waardoor het totaal nu op 94 bekende actoren staat. Dit benadrukt hoe DNS door criminelen wordt ingezet en onderstreept de noodzaak van domeingerichte bescherming binnen een gelaagde beveiligingsstrategie.

Belangrijkste waarnemingen van 2024

1. Explosieve groei van Registered Domain Generation Algorithms (RDGA’s)

Cybercriminelen genereren op grote schaal domeinen met behulp van RDGA’s, die automatisch duizenden domeinen kunnen aanmaken voor phishing, spam, malvertising en datadiefstal. Onderzoek van Infoblox toont aan dat in 2024 gemiddeld 11.000 nieuwe RDGA-domeinen per dag werden ontdekt.

2. Lookalike-domeinen misleiden gebruikers

Lookalike-domeinen, die sterk lijken op legitieme websites, worden ingezet voor phishing en frauduleuze doeleinden. Infoblox ontdekte dat deze techniek werd toegepast rond grote evenementen zoals de Olympische Spelen en verkiezingen. Opvallend is dat veel van deze domeinen meer dan 1000 dagen actief blijven, waardoor traditionele waarschuwingssystemen zoals watchlists onvoldoende bescherming bieden.

3. Verborgen dreigingen via Traffic Distribution Systems (TDS)

TDS-systemen zijn complexe netwerken die bezoekers onopgemerkt doorsturen naar kwaadaardige sites, gebaseerd op factoren zoals locatie of apparaattype. In 2024 werden meer dan 600.000 TDS-domeinen ontdekt en had 50% van de onderzochte netwerken interactie met deze dreiging.

4. Gecompromitteerde bestaande domeinen vormen een risico

Bij “sitting duck attacks” kapen aanvallers bestaande domeinen met een goede reputatie en gebruiken ze voor kwaadaardige doeleinden. Infoblox schatte dat in 2024 ruim 1 miljoen domeinen kwetsbaar waren voor deze aanvalstechniek.

5. DNS-tunneling wordt steeds geavanceerder

DNS-tunneling, een techniek om firewalls te omzeilen en data ongemerkt te exfiltreren, wordt steeds moeilijker te detecteren. In 2024 werd vastgesteld dat cybercriminelen geavanceerdere methoden toepassen, zoals het wisselen van domeinen en het inlassen van ‘stille periodes’ om detectie te ontwijken.

6. Onderzoek naar de ‘Great Chinese Firewall’

Het Infoblox Threat Intel-team heeft onderzoek gedaan naar een dreigingsactor genaamd Muddling Meerkat, die mogelijk betrokken is bij grootschalige internetspionage en DNS-manipulatie. De bevindingen suggereren dat dit een staatsactor kan zijn die DNS-netwerken in kaart brengt via open resolvers.

DNS-beveiliging als onderdeel van een gelaagde verdediging

DNS-dreigingen worden nog altijd ondergerapporteerd, terwijl cybercriminelen DNS blijven inzetten voor aanvallen met een ongekende snelheid en schaal. Daarom is het cruciaal om proactieve bescherming tegen schadelijke domeinen in de beveiligingsstrategie op te nemen.

Infoblox helpt organisaties om meer dan 75% van de schadelijke domeinen te blokkeren voordat er interactie plaatsvindt. Dit vermindert de druk op beveiligingsteams en verhoogt de algehele cyberweerbaarheid.

Wil je meer weten? Bekijk de volledige inzichten op Infoblox Threat Intel.

Bron: Infoblox Threat Intelligence – 2024 DNS Threat Landscape

Wilt u graag meer informatie over Infoblox of een offerte opvragen?
Neem dan contact op via +31 (0)499 462121 of mail naar info@exclusive-networks.nl