Cele mai mari generatoare de astfel de continut includ organizatii care au o prezenta substantiala pe internet, precum Google, Amzaon sau Yahoo, precum si companiile de optimizare web (SEO) care pot ajuta la accelerarea indexarii/livrarii de continut.
Primele astfel de 50 de domenii de tip parent care au folosit frecvent One-Day Wonders, 22% au fost malitioase. Aceste domenii folosesc continut web cu o prezenta scurta in Internet pentru a facilita atacurile si pentru a gestiona bot nets-urile (C&C servers), profitand ca site-urile sunt “noi si necunoscute” pentru a se sustrage solutiilor de securitate.
Spre exemplu, aceste site-uri pot fi folosite pentru a construi arhitecturi dinamice de control si comanda (C&C), scalabile, dificil de urmarit si foarte usor de implementat. Alternativ, pot fi folosite pentru a crea subdomenii unice pentru fiecare campanie de spam sau phishing pentru a evita detectarea de catre filtrele anti-spam sau solutiile de filtrare web.
“In timp ce majoritatea One-Day Wonders sunt esentiale si legitime in practicile pe Internet si nu sunt malitioase, volumul mare al acestora creeaza mediul perfect pentru activitatea malitioasa”, afirma Tim van der Horst, cercetator senior in amenintari cibernetice pentru Blue Coat Systems. “Constructia rapida a site-urilor noi si necunoscute si disparitia lor la fel de rapida destabilizeaza multe controale existente de securitate. Cheia pentru a construi o postura de securitate mai buna consta in intelegerea a ceea ce sunt aceste site-uri si cum sunt utilizate”.
One-Day Wonders sunt indeosebi de populare printre infractorii cibernetici pentru ca:
Domeniile dinamice sunt mai greu de cotracarat decat domeniile statice.
Solutiile de securitate sunt coplesite cu informatii: generarea unui volum mare de domenii creste sansele ca un anumit procent sa nu fie detectat de controalele de securitate.
Se ascund de solutiile de securitate: prin combinarea One-day Wonders cu criptarea si rularea malwareurilor si/sau a furtului de date prin tuneluri SSL, organizatiile devin oarbe fata de atacuri, impactandu-le capacitatea de preventie, detectare si raspuns. Pe masura ce organizatiile continua sa lupte impotriva atacurilor cibernetice, se pot trage invataminte importante din aceasta cercetare pentru a intelege si intari pozitia de securitate.
Controalele de securitate trebuie sa fie automate si in timp real informate astfel incat sa identifice si sa asigneze nivelele de risc legate de acele siteuri. Apararea statica nu este suficienta pentru a-I proteja pe utilizatori si datele lor. Controalele de securitate bazate pe politici trebuie sa fie in masura sa actioneze in timp real pentru a bloca astfel de atacurile malitioase.