Simple Science

Scienza all'avanguardia spiegata semplicemente

# Informatica# Architettura di rete e Internet

Affrontare la sfida dei domini transitori nella cybersecurity

Nuove ricerche rivelano lacune nel rilevamento di domini transitori usati per abusi online.

― 6 leggere min

Affrontare i DominiAffrontare i DominiTransitori nel Cybercrimerilevazione.transitori e le lacune nella loroLa ricerca svela le minacce dei domini
Indice

Attori malintenzionati usano nomi di Dominio per fare attività dannose online, come inviare spam, condurre attacchi phishing e diffondere malware. Per combattere queste minacce, è importante avere Visibilità sull'esistenza e sulla proprietà dei domini, cosa che il Sistema dei Nomi di Dominio (DNS) non fornisce completamente.

Per aiutare con questo, la Internet Corporation for Assigned Names and Numbers (ICANN) ha creato il Centralized Zone Data Service (CZDS). Questo servizio condivide snapshot giornalieri di nuovi domini generici di primo livello (gTLD). Nonostante ciò, molti domini dannosi vengono registrati e cancellati rapidamente, spesso prima di apparire in questi snapshot giornalieri.

Il Gap di Visibilità

La ricerca mostra che c'è un gap significativo nella visibilità dei domini appena registrati e di breve durata. Anche con i migliori dati disponibili, abbiamo scoperto che almeno l'1% di questi domini sfugge alla rilevazione perché vengono registrati e rimossi troppo rapidamente. Questo significa che le misure di Sicurezza che si basano su aggiornamenti giornalieri dei dati mancano un gran numero di domini potenzialmente dannosi.

Per affrontare questo gap, abbiamo usato sia fonti di dati pubblici che privati per capire meglio l'attività dei domini e abbiamo identificato un modo per migliorare la risposta a queste minacce. Vogliamo avviare una discussione su come implementare in modo sicuro le Rapid Zone Updates per la ricerca sulla sicurezza.

Il Problema con il DNS

L'ecosistema DNS è spesso meno trasparente rispetto ad altre parti dell'infrastruttura di internet. A differenza del BGP (Border Gateway Protocol), il DNS richiede un punto di ingresso, che è tipicamente un nome di dominio. Se non conosci il nome di dominio, è difficile vedere quali abusi potrebbero avvenire dietro di esso. Questa mancanza di trasparenza ostacola gli sforzi per rilevare e rispondere ad attività malintenzionate.

Le soluzioni esistenti per migliorare la visibilità nello spazio DNS, come il CZDS, pur essendo utili, lasciano comunque delle lacune critiche. Studi precedenti hanno notato che i file di zona giornalieri non catturano una considerevole quantità di abusi che avvengono attraverso domini Transitori. Questi domini sono spesso registrati per scopi dannosi e rimossi rapidamente.

Risposta Attuale all'Attività Malintenzionata

Attualmente, i registrar sono responsabili per l'identificazione e la rimozione dei domini associati ad attività abusive. Tuttavia, questo porta a una sfida continua. Gli attaccanti spostano frequentemente da un registrar all'altro per evitare di essere scoperti, rendendo difficile per i singoli registrar catturare tutti i domini malintenzionati.

Fornendo maggiore visibilità sui cambiamenti nei domini di primo livello (TLD) a ricercatori di sicurezza indipendenti, possiamo aiutare a identificare e prevenire meglio gli abusi. Usare dati da fonti pubbliche può ridurre il gap di visibilità, ma una soluzione completa richiede accesso tempestivo agli aggiornamenti dei TLD.

Metodologia

La nostra ricerca ha coinvolto un approccio a più fasi usando i log di Certificate Transparency (CT), che sono registri pubblici dei certificati emessi per i nomi di dominio. Abbiamo progettato una metodologia che include:

  1. Identificare i domini appena registrati dai log CT.
  2. Raccogliere dati di registrazione dal Registration Data Access Protocol (RDAP).
  3. Monitorare i cambiamenti ai fornitori DNS per questi domini.
  4. Validare le nostre scoperte contro i dati RDAP.
  5. Identificare i domini transitori creati e rimossi entro 24 ore.

Seguendo questi passaggi, abbiamo raccolto dati per analizzare l'attività dei domini in modo più dettagliato.

Risultati sui Domini Appena Registrati

Tra novembre 2023 e gennaio 2024, abbiamo scoperto oltre 6,8 milioni di nomi di dominio che non sono stati catturati negli snapshot CZDS. Abbiamo trovato che 3,7 milioni erano registrati sotto .com, con altri in vari TLD, tra cui .xyz e .shop.

Il nostro metodo ha identificato con successo il 42% dei domini appena registrati prima che apparissero nei file di zona CZDS. Questo dimostra che il nostro approccio all'uso dei log CT può evidenziare efficacemente i domini coinvolti in potenziali abusi.

Velocità di Rilevamento

La nostra ricerca ha mostrato che abbiamo rilevato la metà dei domini appena registrati entro 45 minuti dalla loro esistenza, con il 30% rilevato in soli 15 minuti. Questi risultati suggeriscono che il nostro approccio è sia veloce che efficace nell'identificare i domini appena registrati che potrebbero essere utilizzati per scopi malintenzionati.

Domini Transitori

Una piccola percentuale di domini appena registrati, spesso intorno all'1%, non appare mai negli snapshot di zona. Questi sono i domini transitori, che vengono creati rapidamente e poi cancellati, solitamente per motivi dannosi. La nostra analisi ha rivelato 68.042 domini transitori durante il periodo di osservazione di tre mesi.

La maggior parte dei domini transitori è stata trovata scomparire molto rapidamente, spesso entro sei ore dalla registrazione. Questo evidenzia l'urgenza di metodi di rilevamento migliori per affrontare queste minacce in rapido movimento.

Paesaggio dei Registrar e Hosting

La nostra analisi ha indicato che GoDaddy era il registrar principale per i domini transitori, detenendo il 19% del totale. Cloudflare è emerso come fornitore DNS prominente per questi domini, il che indica che i domini transitori condividono spesso infrastrutture simili a quelle dei domini di lunga durata.

Tuttavia, la presenza significativa di domini parcheggiati tra i domini transitori indica che molti vengono rimossi rapidamente, spesso prima di poter essere sfruttati.

Motivi per le Rimozioni Precoce

Abbiamo scoperto che i domini transitori vengono spesso rimossi a causa di abusi, attività sospette dell'account o frode. Molti registrar hanno riferito di prendere misure rapide per eliminare i domini legati a comportamenti malintenzionati.

La nostra analisi delle liste di blocco, che identificano i domini dannosi noti, ha mostrato che una piccola percentuale di domini appena registrati e transitori è stata contrassegnata come non sicura. La maggior parte dei domini transitori è stata segnalata dopo la cancellazione, indicando un ritardo nella rilevazione.

La Necessità di Migliorare la Condivisione dei Dati

I servizi commerciali di intelligence sulle minacce tentano di colmare il gap di visibilità monitorando l'attività DNS, ma incontrano ancora delle sfide. Un confronto tra i domini appena registrati dalle nostre fonti di dati e quelli dai feed commerciali ha mostrato che, mentre questi ultimi possono identificare leggermente più domini, c'è una sovrapposizione significativa che indica la necessità di collaborazione tra diverse fonti di dati.

Inoltre, abbiamo osservato che un registro ccTLD di medie dimensioni ha identificato un numero sostanziale di domini transitori che la nostra metodologia ha catturato solo parzialmente. Questo suggerisce che ci sono ancora lacune significative nella rilevazione delle attività sui domini in rapido cambiamento.

Conclusione

In conclusione, la questione dei domini transitori rappresenta una sfida significativa nella lotta contro gli abusi online. Anche se sono stati compiuti alcuni progressi nell'identificazione e risposta a queste minacce, c'è ancora un bisogno cruciale di strumenti e approcci migliori per migliorare la visibilità e il rilevamento.

Ripristinare capacità per aggiornamenti rapidi delle zone, come quelli storicamente usati da Verisign, insieme a forti salvaguardie contro potenziali abusi, potrebbe aiutare enormemente a combattere i crimini informatici legati ai domini. È giunto il momento per la comunità di lavorare insieme per trovare soluzioni che migliorino la trasparenza e la responsabilità nell'ecosistema DNS.

Migliorare la nostra comprensione dell'attività dei domini e ridurre il gap di visibilità è essenziale per migliorare il paesaggio della sicurezza generale su internet. Condividendo informazioni e approfondimenti tra registrar, ricercatori di sicurezza e forze dell'ordine, possiamo creare un ambiente online più sicuro per tutti.

Fonte originale

Titolo: DarkDNS: Revisiting the Value of Rapid Zone Update

Estratto: Malicious actors exploit the DNS namespace to launch spam campaigns, phishing attacks, malware, and other harmful activities. Combating these threats requires visibility into domain existence, ownership and nameservice activity that the DNS protocol does not itself provide. To facilitate visibility and security-related study of the expanding gTLD namespace, ICANN introduced the Centralized Zone Data Service (CZDS) that shares daily zone file snapshots of new gTLD zones. However, a remarkably high concentration of malicious activity is associated with domains that do not live long enough make it into these daily snapshots. Using public and private sources of newly observed domains, we discover that even with the best available data there is a considerable visibility gap in detecting short-lived domains. We find that the daily snapshots miss at least 1% of newly registered and short-lived domains, which are frequently registered with likely malicious intent. In reducing this critical visibility gap using public sources of data, we demonstrate how more timely access to TLD zone changes can provide valuable data to better prevent abuse. We hope that this work sparks a discussion in the community on how to effectively and safely revive the concept of sharing Rapid Zone Updates for security research. Finally, we release a public live feed of newly registered domains, with the aim of enabling further research in abuse identification.

Autori: Raffaele Sommese, Gautam Akiwate, Antonia Affinito, Moritz Müller, Mattijs Jonker, KC Claffy

Ultimo aggiornamento: 2024-09-25 00:00:00

Lingua: English

URL di origine: https://arxiv.org/abs/2405.12010

Fonte PDF: https://arxiv.org/pdf/2405.12010

Licenza: https://creativecommons.org/licenses/by-sa/4.0/

Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.

Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.

Argomenti citati

Altro dagli autori

Articoli simili