利用域名請求數據,Akamai每個月自動標記千萬惡意域名
責編:gltian |2022-11-17 16:28:08Akamai CacheServe 每秒要處理超過八千萬次 DNS 查詢,每日總計 7 萬億次查詢請求。
在過去的 60 天內,發現該域名被首次查詢,Akamai 就認為該域名為新觀察到的域名(NOD)。其中包含新注冊的域名、拼寫錯的域名與查詢量極少的域名等。
NOD 數據
其他研究 NOD 的組織,通常使用的時間窗口是 30 分鐘到 72 小時間。這與 Akamai 使用的 60 天時間窗口相去甚遠。
其中還跟蹤了未能解析成功的 DNS 查詢,因為大量的惡意軟件嘗試的大多數域名都沒被注冊。這樣會讓數據集膨脹一個數量級,但是為研究人員帶來了更大的數據場景。
NOD 中的惡意活動
例如 2022 年 3 月 3 日收集到的部分域名:
aa65ef[.]chi3oq6565ybln1l14[.]com1z4e1feu8flth[.]comfkyjtgqnodzv0n0[.]comxmyc[.]renbx76-lzlirxpp6[.]comvcd7alw-x34ujurr7aeciih9l8[.]comyporqueyo[.]comavdl2-li2tmw86[.]comvnfwjetwwqqddnundjgk[.]jplynnesilkmandesig[.]comaa73ve[.]ch
每天能夠收集到大約 1200 萬新的 NOD,上半年一共標記了 7900 萬個惡意域名。
惡意檢測
Akamai 的研究人員圍繞 NOD 數據已經研究了十二年,創建了 190 余個 NOD 檢測規則。
DGA 檢測
例如前文提到的前兩個域名?aa65ef[.]ch?與?aa73ve[.]ch?的長度相同、頂級域名相同、字母與數字的位置也相同,這表明很可能歸屬于同一個 DGA 家族。
Akamai 在內部記錄了未來 30 年里所有已知 DGA 家族使用的域名。發現新的 NOD 時,就可以發現與 DGA 數據的匹配項,被標記為惡意的 NOD 中大概 0.1% 歸屬于 DGA。
啟發式檢測
啟發式檢測發現了大部分的惡意域名,通過域名本身、頂級域名、解析的 IP 地址、ASN 等特征來進行判斷。例如:
- ASN 風險評分超過 0.5
- TLD 風險評分超過 0.75
- 以數字開頭的域名
- 解析地址位于 127.0.0.0/8 范圍內
當然,啟發式檢測方式一定會帶來誤報。2022 年上半年檢測的 7900 萬惡意域名中,確定了 329 個誤報,誤報率約為 0.00042%。
釣魚檢測
將 NOD 與已知品牌和流行網站計算相似度,在相似度很高的情況下很可能是釣魚域名。即使相似度較低,也會利用其他上下文數據進行判斷。
檢測速度很快
NOD 的優勢在于檢測時間非常短,識別惡意域名的時間以分鐘為單位而且是全自動的。
上半年,檢測系統將 20.1% 的 NOD 標記為惡意域名。這些標記的惡意域名中,91.4% 都未能在多家威脅情報數據源中查詢到。能查詢到的那些域名,超過 99.9% 都未被標記為良性或者惡意。
當 Akamai 的檢測系統與威脅情報都將一個域名標記為惡意域名時,檢測系統通常比威脅情報提前將近一個月。
獨特視角
這樣龐大的數據量,可以提供對惡意攻擊的獨特視角。例如每個頂級域名中的惡意域名數量:
例如?.ru?每天大約有一萬個新出現的惡意域名。
來源:威脅棱鏡