来源:https://swimlane.com/blog/identify-malicious-domains-using-soar/
域名抢注、拼写错误和IDN同形文字攻击在钓鱼和其他形式的社会工程中很常见。攻击者利用域名抢注和拼写错误来欺骗用户提供他们的证书,散布恶意软件,损害组织的声誉,或者恶意冒充一个合法的域名。我们以前已经讨论过这个主题,并使用Swimlane 开发了一个独特的用例来自动检测这种恶意活动。
最近,我们开始监测与冠状病毒(COVID-19)相关的领域,知道研究疫情的流量将会增加,这可能会被坏人利用。尽管并非所有这些域名都是恶意的,或专注于欺骗(或拼写错误)技术,但我们决定使用这个用例来识别任何与“corona”和“covid”相关的注册域名。“在过去的两周里,我们已经看到5054个与冠状病毒相关的域名被注册。
在使用Swimlane 安全调配、自动化和响应(SOAR)解决方案确定的5,054个域中,许多都专注于销售疫苗、检测试剂盒、供应品、资源,或试图利用不知情的人获取经济利益。
鉴于这一信息,我敦促您在与任何与covid -19相关的领域互动时极为谨慎,并对您可能通过电子邮件、短信、社交媒体等接收到的任何东西保持怀疑。
一、技术
尽管这些新注册的“corona”域名不属于典型的域名抢注类别,但我还是想给大家介绍一下不同的“抢注”攻击。这些各种各样的攻击(在本文中将统称为“squatting”)是一系列攻击,其中用户被骗与具有合法外观的域名/URL的合法外观的网站进行交互。任何合法的域名都可以被“抢注”,它的克隆伪装成一个合法的域名在几个方面,包括:
域名抢注:参与者只需在目标组织有机会以金钱或邪恶的目的持有目标域名之前注册目标的预测域名。
输入错误:攻击者注册一个与目标域在外观、键盘输入错误的可能性或调整的TLD方面相似的域,并忽略人们无意中指向该方向的流量。
IDN同形文字攻击:攻击者通过国际域名(IDN)协议注册一个与已注册目标域名在视觉上相似或相同的域名,该协议允许在域名中显示中文、阿拉伯语、韩语、阿姆哈拉语等字符。一些字符,如俄语的“а”,看起来与某些英文字母相同,意味着“apple.com”(英语的“a”)和“аpple.com”(俄语的“а”)可以解析到完全不同的服务器,而最终用户并不知道。
我们将看的域名是专门分类为“骗局”或“牟取暴利”的域名。最近几周有5054 +个域名被注册,这表明这些域名不是官方资源,在很大程度上应该被认为是不值得信任的。
二、影响
这些域名的总体影响尚不清楚,但在过去一周,已经发生了多起个人受到与COVID-19相关的钓鱼攻击的事件。这些钓鱼事件的范围从传统的URL到maldoc(恶意文档)到SMS攻击。国家网络安全中心(National Cyber Security Centre)表示,他们“看到与冠状病毒有关的网页注册数量增加,这表明网络犯罪分子可能正在利用疫情,”这也与我们的研究结果一致。
2020年2月16日,世界卫生组织(WHO)宣布,他们看到有犯罪分子伪装成世界卫生组织,企图窃取资金和/或敏感信息。
上图显示了从2月26日至3月15日,“corona”和“covid”术语注册域名的进展情况。
三、进一步的研究
同样,这些域的影响仍然是未知的,但很可能许多这些域是计划中的或将用于恶意目的。我们的域名抢注应用程序的一部分是向注册商和托管提供商发送自动下架通知的能力。随着我们不断监控活动,我们将报告任何恶意域名给各自的注册商。
为了帮助检测和调查潜在的covid -19相关域名,我们正在提供一个GitHub知识库,其中包含所有(大部分)注册的通用顶级域名(域名扩展名)。此外,我们还以两个JSON文件的形式提供了另一个数据集。这些文件是特定于下列条款,并将根据需要进行更新:
corona
covid
pandemi
我们为每一个术语(及其易混淆项)提供了两个JSON文件,它们包含相同的数据,但结构方式不同。例如,我们提供了以下数据结构:
domains_by_ip.json:这些json文件是根据域名的键值组织的,键值是域名注册的IP地址。
ips_by_doman.json:这些json文件是根据IP的键值来组织的,键值是与该IP地址相关联的域列表。
master_blacklist.txt:该文件包含所有术语及其识别域的黑名单,以。gov结尾的域除外。更有可能的是,你应该把所有这些域名列入黑名单,但使用你自己的判断。
您可以找到这个数据集,它将每天更新和归档在以下GitHub存储库:https://github.com/swimlane/deepdive-domain-data。
因为我们认定它是恶意的,所以我们自动发送了一个下架通知,可以配置为自动或手动触发。
四、挑战:检测
监测这些潜在域名的第一步非常简单,我们需要找到带有“corona”或“covid”的域名。挑战在于找到使用IDN同构域名的域名,或者只是简单地用0代替O加上所有其他组合。这就是真正的挑战所在,我们的用例包含了这个现成的逻辑。
五、挑战:时间
我们识别的很多域名都是不活跃的,但域名已经通过注册商(ICANN)购买并分配。问题是,随着时间的推移,这些域名会变老,但它们中的任何一个都可能在今天、明天或5个月后托管恶意代码。因此,在试图阻止恶意攻击时,积极主动并定期检查这些域是至关重要的。
六、自动化来拯救!
Swimlane 可以摄取新注册的域名的列表在每天的基础上,并将他们与您希望监控的域名列表进行比较。在每个新注册的域和您希望监视的域之间进行三次比较。比较:
CONTAINED_IN:新注册的域名包含被监控的域名(即“coronaid.net”包含“corona”from“coronaid.net”)。
易混淆:通过IDN Homograph攻击或“易混淆”字符,例如小写的“L”表示大写的“i”或0表示Os,新注册的域名类似于被监视的域名。
LEVENSHTEIN距离:新注册的域与监控的域非常相似,只是文本稍有转换。Levenshtein距离是必须对一个字符串进行多少更改才能将其转换为第二个字符串。如果字符串足够相似,Swimlane 将记录一个命中。
一旦Swimlane 确定了潜在的域名,它就开始尝试对这些域名进行快照。泳道将每天检索一次以下信息:
SSL证书
服务器信息
WHOIS信息
网站截图及内容
网友评论