A Akamai calcula que, somente no primeiro semestre de 2022, sinalizou quase 79 milhões de domínios recém-observados (NODs) como maliciosos.
De acordo com a internet gigante da infraestrutura, que equivale a 13 milhões de detecções de domínios maliciosos por mês, o equivalente a 20% de todos os NODs resolvidos com sucesso.
Para os propósitos da Akamai, um NOD é qualquer domínio que foi consultado para o primeira vez nos últimos 60 dias. E por mal-intencionado, significa um nome de domínio que resolve para um destino destinado a phishing, espalhar ou controlar malware ou causar algum outro dano online.
“é onde você encontra nomes de domínio recém-registrados, erros de digitação e domínios que raramente são consultados em escala global”, disse Akamai. Essa lista cresce em aproximadamente 12 milhões de NODs por dia, muito mais do que uma equipe razoável
Os métodos da Akamai para determinar quais domínios são maliciosos ou não são bem diretos. Para uma abordagem, ele analisa uma lista de algoritmos de geração de domínio (DGAs) conhecidos que , com ajuda creditada à maior comunidade de segurança cibernética, a Akamai conseguiu criar uma lista preditiva de 30 anos que pode ser usada para identificar domínios registrados no DGA.
-
- Akamai: Interrompemos o recorde de ataque DDoS na Europa
Chefe cibernético da Ucrânia chega à Black Hat em visita surpresa
-
-
- O ataque de ‘injeção imediata’ do GPT-3 causa maus modos de bot
- A Cloudflare interrompe os serviços para um site de ódio ‘revoltante’
-
Os domínios DGA são frequentemente usados por cibercriminosos para compartilhar malware, hospedar páginas de phishing e similares, pois elas podem ser registradas em massa até para campanhas de curta duração. A ideia é que, se você precisar de vários nomes de domínio de aparência aleatória para iniciar ataques, executar servidores de comando e controle de botnet ou hospedar páginas maliciosas, não deseja que esses domínios sejam facilmente adivinhados e bloqueados, digamos, filtros de segurança de rede. Então você tem um algoritmo que gera uma série determinística de domínios, os registra, e sua operação de malware ou phishing pode prever os domínios que eles precisam usar em um determinado momento e se conectar a eles.
Pense em DGAs gerando pontos de encontro na internet para malware e outras coisas para se conectar ou usar.
A detecção baseada em NOD também é realizada através do uso de “mais de 190 Regras de detecção específicas do NOD” que a Akamai usa, que disse ser responsável pela maioria de suas detecções de domínios maliciosos. A Akamai afirma que teve apenas uma taxa de falsos positivos de 0,00042% entre os 79 milhões de NODs maliciosos detectados no primeiro semestre do ano.
A detecção de NOD pode detectar o que outros miss
A Akamai afirmou que avaliou seu sistema de detecção de NOD contra “um grande e conhecido agregador de inteligência de ameaças”, e seus resultados levantam algumas questões à primeira vista.
Ao analisar todos os NODs maliciosos sinalizados e compará-los com nomes de domínio no agregador que foram consultados pelo menos uma vez, a Akamai disse que descobriu que 91,4% de suas detecções estavam faltando do agregador.
“Também descobrimos que, dos nomes que conseguimos encontrar, mais de 99,9% tinham uma ‘reputação’ de 0, o que significa que eles ainda não haviam sido marcados como benignos ou malicioso”, disse a Akamai.
Em vez de olhar para a falta de consistência entre ele e o agregador como más notícias, a Akamai disse que as diferenças, combinadas com sua proclamada baixa taxa de falsos positivos, provam que uma ampla variedade de métodos de detecção é necessária para construir uma imagem completa dos riscos de segurança cibernética.
“Isso demonstra a necessidade de uma abordagem multifacetada para obtermos o melhor de ambos os sistemas”, escreveram Stijn Tilborghs e Gregorio Ferreira, da Akamai, em uma nota de pesquisa. “O conjunto de dados NOD fornece muito valor complementar, pois há apenas uma sobreposição muito pequena entre sua saída e outros principais feeds de inteligência de ameaças”.
A detecção de NOD da Akamai não é o único jogo na cidade: a Cisco oferece um sistema de detecção de “domínio recém-visto” que verifica logs de DNS e sinaliza possíveis sites maliciosos, assim como a empresa de segurança cibernética Farsight and Palo Alto Redes.
Não está claro como esses serviços se comparam aos da Akamai, mas seus objetivos finais parecem semelhantes e apontam que os NODs são uma preocupação de segurança bem conhecida que vários fornecedores estão tentando resolver.
