Realtime kwaadaardige domeinregistraties herkennen

Al sinds de komst van domeinnamen worden deze helaas op verschillende manieren misbruikt voor malafide doeleinden, bijvoorbeeld voor phishing, voor de verspreiding van virussen, spam en andere vervelende zaken. Wat zou het mooi zijn als je te kwader trouw geregistreerde domeinnamen al heel snel na registratie zou kunnen opsporen.

Dit is precies waar SIDN Labs op inzet met de ontwikkeling van het monitoringssysteem, nDEWS. Een systeem dat gebruik maakt van de DNS-infrastructuur om malafide domeinnamen te detecteren.

DNS-infrastructuur

Als registry voor .nl beheert SIDN de DNS-infrastructuur voor de .nl-zone. Dat wil zeggen dat elke gebruiker die een .nl-domeinnaam opzoekt eerst langs onze .nl-nameservers komt. Vervolgens verwijzen we je naar de juiste locatie. Per dag verwerken onze systemen meer dan 1,4 miljard van dergelijke verzoeken van gebruikers verspreid over de hele wereld. Een groot deel van deze verzoeken, ongeveer 400 miljoen, voegen we dagelijks toe aan ENTRADA, ons platform voor data-analyse dat SIDN Labs heeft ontwikkeld.

Wat is nDEWS?

nDEWS staat voor ‘new Domains Early Warning System’ en is een automatisch monitoringssysteem ontwikkeld door SIDN Labs, ons research en development-team. nDEWS kan domeinnamen met een verhoogd risicoprofiel al kort na de registratie detecteren. Om deze domeinnamen te herkennen gebruikt nDEWS een combinatie van domeinregistratiedata en patronen in het DNS-verkeer.

Hoe werkt nDEWS?

verkeerspatroon verdachte domeinnamen vs. reguliere registraties
verdachte domeinnamen vs. reguliere registraties

Het is al langer bekend dat domeinnamen die gebruikt worden voor phishingsites een afwijkend patroon laten zien in het aantal DNS-bevragingen vlak na registratie. Waar een ‘normale’ domeinregistratie een langzaam oplopend patroon laat zien, hebben ‘kwaadaardige’ domeinen vaak een sterke piek in het verkeer direct na registratie. Die piek wordt vooral verklaard door het feit dat snelheid geboden is, als je een domeinnaam gebruikt voor criminele activiteiten. Immers, zodra duidelijk is dat een domeinnaam misbruikt wordt voor phishing, spam of virusverspreiding, wordt deze meestal snel uit de lucht gehaald. In het onderstaand figuur staat een voorbeeld van beide verkeerspatronen. De paarse lijn geeft een willekeurig verkeerspatroon van een ‘gewone’ domeinnaam en de blauwe lijn die van een domeinnaam die misbruikt wordt voor phishing. nDEWS combineert de verkeerspatronen met andere eigenschappen van de bevragingen, zoals van hoeveel verschillende IP-adressen de bevragingen komen, uit hoeveel verschillende landen en uit hoeveel verschillende netwerken. Door domeinnaamregistraties te analyseren op basis van deze eigenschappen, hebben we in de onderzoeksperiode onderstaande resultaten gevonden. Er is duidelijk te zien dat de scores van verdachte domeinnamen sterk afwijken van reguliere domeinregistraties.

Wat maakt nDEWS anders dan andere monitoringssystemen?

Er bestaan natuurlijk al blacklists en feeds, bijvoorbeeld Netcraft, die waarschuwen voor kwaadaardige domeinnamen. In vergelijking met dit soort monitoringdiensten vindt nDEWS echter meer domeinnamen die te kwader trouw geregistreerd zijn. Dit komt doordat nDEWS alle nieuwe registraties (exclusief uit quarantaine gehaalde domeinnamen) realtime analyseert en niet afhankelijk is van meldingen van gebruikers. Ook werkt nDEWS veel sneller. Al kort na de registratie van een domeinnaam bij SIDN worden verkeerspatronen en attributen gemonitord en valt ‘afwijkend gedrag’ direct op. Hierdoor is nDEWS een goede aanvulling op bestaande traditionele blacklists en abuse-feeds.

Vervolg

Momenteel draaien we een pilot met twee .nl-registrars die notificaties ontvangen van verdachte domeinnamen die zij onder hun beheer hebben. De registrar kan op basis van die notificaties uitzoeken of het daadwerkelijk een malafide registratie is en zo ja, de domeinnaam deactiveren voordat de criminele activiteiten starten. Op basis van de opgedane ervaringen bepalen we hoe nDEWS optimaal kan worden ingezet en hoe we het systeem gaan doorontwikkelen. Bovendien willen we andere attributen inzetten, zoals bijvoorbeeld IP-reputatie, siteanalyse en registratiedata om nog betere resultaten te krijgen en zo min mogelijk ‘false positives’.

Meer informatie?

Het volledige onderzoek kun je hier lezen: https://www.sidnlabs.nl/downloads/presentations/sidn-annet2016.pdfWil je meer informatie over nDEWS of over het voorkomen van domeinnaammisbruik, neem dan contact op met Pim Pastoors van SIDN, via pim.pastoors@sidn.nl 06-57045407.

Reacties

Pim-Pastoors

Pim Pastoors

Productmanager

+31 6 570 454 07

pim.pastoors@sidn.nl

  • dinsdag 25 juni 2019

    Veilig internet

    Overzichtelijker en sneller misbruikbeheer voor Meldpunt Kinderporno

    Thumb-logo-AbuseIO

    SIDN fonds ondersteunt AbuseIO bij ontwikkeling van open source toolkit

    Lees meer
  • dinsdag 8 januari 2019

    Veilig internet

    DDoS-aanvallen treffen 15% meer websites in 2018

    Thumb-DDoS-attack

    Aanvallen worden steeds gerichter

    Lees meer
  • dinsdag 16 juli 2019

    Veilig internet

    Reisorganisaties geliefd seizoensdoelwit voor phishing

    Phishing 520x520

    Het vakantieseizoen is geopend

    Lees meer

Sorry

De versie van de browser die je gebruikt is verouderd en wordt niet ondersteund.
Upgrade je browser om de website optimaal te gebruiken.