Missbruk av domäner har länge varit ett allvarligt problem. Faktum är att problemet förmodligen är större än de flesta skulle våga gissa. Bara mellan första och tredje kvartalet förra året identifierade Anti-Phishing Work Group över 630 000 webbplatser som används enbart för nätfiske. Majoriteten hade registrerats i USA.
Nu har en grupp bestående av säkerhetsforskare från bland annat Princeton University och Google tagit fram ett verktyg som automatiskt ska kunna söka upp domäner som registreras i skadliga syften. De tekniska dokumenten bakom verktyget som döpts till det passande PREDATOR (Proactive Recognition and Elimination of Domain Abuse at Time-Of-Registration) presenterades vid förra veckans ACM Conference on Computer and Communications Security, som ägde rum i Wien, Österrike. Forskarna beskrev verktyget som en vidareutveckling av dagens system för domäners ”rykte” där en domäns användning först observeras och sedan tilldelas poäng baserat på vilken typ av information som lagras och en rad andra faktorer.
Tanken med PREDATOR är att utrusta operativ it-säkerhetspersonal och domänregistrarer med förmågan att göra en sådan ryktesbedömning redan innan själva domänregistreringen sker genom att observera och utvärdera så kallade ”time of registration”-beteenden. Syftet är helt enkelt att göra det svårare för cyberkriminella att registrera webbsidor för att skicka spam, lansera nätfiskekampanjer och överbelastningssattacker eller andra skadliga aktiviteter. Cyberbrottslingar registrerar rutinmässigt tusentals domäner varje dag just för sådana ändamål.
Snabbt upptäcka varningssignaler
– Vår intuition har alltid varit att sättet som skadliga aktörer använder onlineresurser på, skiljer sig fundamentalt från det sätt legitima aktörer använder dem på. Vi letade därför efter dessa varningssignaler som gör att ett domännamn automatiskt kan identifieras som ett dåligt domännamn, sa Nick Feamster, tillförordnad chef för Princetons centrum för informationsteknologi, i samband med presentationen av PREDATOR. Han förklarade också att arbetet bakom verktyget till stor del bygger på tidigare forskning som varit inriktad på utvärdera DNS-uppgifter redan innan registrering och därmed kunna förutspå framtida DNS-trafik – en teknik som Verisign patenterade redan 2012.
Tidiga utvärderingar av verktyget efter användning på registreringsloggar av .com och .net-domäner under en femmånadersperiod visade att det var möjligt att uppnå en 70-procentig upptäcktsnivå med en falsk positiv-nivå på endast 0,35 procent. Resultaten tyder på att verktyget ger ett effektivt och tidigt första försvar mot DNS-domänmissbruk. Framförallt upptäcks de skadliga domänerna oerhört mycket snabbare än via det DNS-svartlistningssystem som oftast används idag. När PREDATOR finns ute för allmänt bruk är oklart, men forskarna har ambitionen att lansera verktyget så snart det bara är möjligt.
Vi kan väl få utropa ett ödmjukt ”snabba på”?