Киберпреступники часто запасают большое количество доменных имён для своих мошеннических действий. В исследовательских кругах это явление получило название “domain stockpilling” или “накопление доменов”.
Накопление доменов представляет собой значительную угрозу в области кибербезопасности, поскольку позволяет злоумышленникам создавать обширные сети фишинговых и мошеннических сайтов. Эти сайты часто маскируются под легитимные веб-ресурсы, вводя в заблуждение пользователей и заставляя их раскрывать конфиденциальную информацию, такую как логины, пароли, данные банковских карт и другие личные данные.
Кроме того, накопленные домены могут использоваться для распространения вредоносного ПО и проведения атак на критически важные инфраструктуры. В то же время, отслеживание и блокировка таких доменов представляет для специалистов серьёзное испытание с учётом их количества и постоянного обновления.
Для эффективного решения вышеописанной проблемы специалисты Unit 42 из Palo Alto Networks разработали новый метод раннего обнаружения накопления вредоносных доменов, используя обширные базы данных и машинное обучение.
При создании большого числа подобных доменов злоумышленники используют различные сервисы и скрипты, чтобы автоматизировать и ускорить рутинные действия. Работа такой автоматизации обычно оставляет следы в различных источниках данных, таких как журналы прозрачности сертификатов и пассивные данные DNS. Именно эти следы можно использовать для выявления подозрительной активности, что и сделали исследователи.
Для обнаружения накопленных доменов специалистами Palo Alto Networks было разработано более 300 признаков и обработаны терабайты данных, включая миллиарды записей pDNS и сертификатов. Для обучения алгоритма машинного обучения Random Forest использовалась база знаний, состоящая из миллионов как злонамеренных, так и безопасных доменов.
Методика проходила весьма долгую обкатку, а уже к июлю этого года при помощи своей новой системы специалистами было обнаружено свыше миллиона уникальных злонамеренных доменных имён, а ещё десятки тысяч подозрительных доменов выявляются ежедневно. Согласно проведённым замерам и тестам, новая модель обнаруживала накопленные домены в среднем на 34 дня раньше, чем это делали поставщики данных на VirusTotal. Такой срок является настоящим рекордом, когда речь идёт о сфере кибербезопасности.
Автоматизированная система классификации доменов надёжно защищает клиентов продуктов Palo Alto Networks, однако компания не забывает блокировать выявленные домены и делиться данными с другими компаниями, поэтому риски снижаются для всех в отрасли.
Благодаря автоматизации исследователи Unit 42 раскрыли уже множество кампаний, связанных с фишингом, распространением вредоносного ПО и другими видами киберпреступлений, включая мошеннические сайты, имитирующие легитимные почтовые службы разных стран.
Эффективность подхода, использованного в Palo Alto Networks, подчёркивает важность объединения множества крупных наборов данных, таких как pDNS и журналы сертификатов, для раскрытия злонамеренных кампаний.
Исследователи и дальше продолжат работать над усовершенствованием своих методов обнаружения и предотвращения киберугроз, чтобы обеспечить максимально возможную защиту как для своих клиентов, так и для всех участников киберпространства.