Akamai: rilevati 13 milioni di domini pericolosi in 1 mese grazie ai Newly Observed Domain

redazione

Le istanze CacheServe di Akamai gestiscono attualmente più di 80 milioni di query DNS al secondo, ovvero circa 7.000 miliardi di richieste al giorno, provenienti da tutto il mondo. Un sottoinsieme reso anonimo di questi dati raggiunge il team Akamai Security Research, dove i ricercatori si impegnano per rendere la vita online più sicura.

Come è già noto, le destinazioni dei link non sono sempre sicure e se è considerata malevola, i sistemi di Akamai sono in grado di intervenire per evitare che gli utenti siano vittime di ransomware, malware, phishing e altre minacce. l set di dati NOD (Newly Observed Domain) vengono utilizzati per segnalare nuovi domini pericolosi con un tempo medio di rilevamento (MTTD) molto ridotto, risultando così utili al fine di proteggere clienti e utenti finali.

Newly Observed Domains 

Alcuni degli utenti CacheServe (in genere gli ISP) di Akamai forniscono query DNS anonimizzati, come ad esempio i Fully Qualified Domain Name (FQDN) e gli indirizzi IP. Da questi dati è possibile estrarre i nomi di dominio e tenere traccia di quando sia stato cercato per l’ultima volta. Quando un nome di dominio viene interrogato per la prima volta nel corso degli ultimi 60 giorni è considerato un Newly Observed Domain (NOD).

Il dataset NOD permette di analizzare quella che viene spesso definita “long tail”, in questo caso la long tail delle query DNS. In questo set di dati si trovano nomi di dominio recentemente registrati, errori di battitura e domini che vengono cercati molto raramente a livello globale.

Altre aziende che monitorano i NOD hanno dichiarato di utilizzare una finestra temporale compresa tra 30 minuti e 72 ore. Si tratta di un intervallo di tempo molto diverso rispetto a quello di 60 giorni considerato da Akamai ed è in questo sottoinsieme che i suoi ricercatori hanno scovato una grande quantità di minacce informatiche nuove ed emergenti basate sul DNS.

Inoltre, Akamai monitora le query DNS non risolte (NXDOMAIN) in quanto la maggior parte dei domini in cui il malware tenta di infiltrarsi, non sono registrati e ciò comporta un aumento delle dimensioni del dataset di circa un ordine di grandezza, una condizione che consente agli esperti di sicurezza di Akamai di analizzare il quadro completo piuttosto che un campione parziale.

Attività malevole nei dati NOD

Per avere un’idea dell’aspetto effettivo del dataset NOD, la Figura 1 propone un campione del 3 marzo 2022 che dimostra la pericolosità dei NOD. 

aa65ef[.]ch

i3oq6565ybln1l14[.]com

1z4e1feu8flth[.]com

fkyjtgqnodzv0n0[.]com

xmyc[.]ren

bx76-lzlirxpp6[.]com

vcd7alw-x34ujurr7aeciih9l8[.]com

yporqueyo[.]com

avdl2-li2tmw86[.]com
vnfwjetwwqqddnundjgk[.]jp
lynnesilkmandesig[.]com
aa73ve[.]ch

Figura 1. – Campione del 3 marzo 2022

Ogni giorno, il team di Akamai osserva un totale di circa 12 milioni di nuovi NOD, di cui poco più di 2 milioni vengono risolti con successo. Nei primi 6 mesi del 2022, quasi 79 milioni di nomi di dominio sono stati segnalati come pericolosi grazie al rilevamento delle minacce basato sui NOD[1], rendendolo una componente chiave nei meccanismi di rilevamento.

Molti nomi presenti nel dataset NOD sono difficilmente digitabili in una finestra del browser. Non sono interpretabili dall’uomo e sembrano generati da computer. Ad esempio, spesso vengono inserite delle cifre, in modo da ridurre la possibilità che i domini generati siano già stati registrati. 

Normalmente, gli aggressori registrano in blocco migliaia di nomi di dominio. In questo modo, se uno o più domini vengono segnalati e bloccati, possono semplicemente utilizzarne un altro. In genere questi nomi di dominio vengono creati in modo automatico, utilizzando un algoritmo di generazione dei domini (DGA). Questo processo automatizzato contribuisce a rendere pericolosi questi NOD, perché favorisce un attacco continuativo ai danni di una organizzazione. 

Le minacce più comuni che utilizzano questa tecnica includono malware, attacchi ransomware, cryptominer, typosquatting (spesso utilizzato per il phishing), botnet e APT. Maggiore è la rapidità con cui vengono rilevati questi tipi di schemi e nomi generati da computer, maggiore è il numero di minacce che possono essere neutralizzate prima di diventare pericolose.

Quanto è efficace e rapido Akamai nel rilevamento delle minacce?

Considerando un arco temporale dal 1° gennaio 2022 alla fine di giugno 2022, i sistemi di rilevamento del team di Akamai hanno segnalato come pericoloso il 20,1% di tutti i NOD pari a quasi 79 milioni di nomi di dominio malevoli unici in un periodo di 6 mesi, solo sulla base del codice rcode 0. 

Considerando tutti i NOD segnalati come pericolosi e analizzando tutti i nomi di dominio che erano stati cercati almeno una volta nel database, Akamai ha scoperto che il 91,4% dei NOD segnalati come dannosi non erano di fatto presenti. Inoltre, tra i nomi trovati, oltre il 99,9% aveva una “reputation” pari a 0, cioè non erano ancora stati identificati come benigni o malevoli, ma erano semplicemente stati cercati dagli utenti.

Per tutti i nomi di dominio che i ricercatori di Akamai hanno segnalato, sono riusciti a ottenere una valutazione da parte dell’aggregatore noto solo per circa 1 nome di dominio su 11.000.

Ciò che è possibile concludere da questi dati, è che il set di dati NOD fornisce un valore complementare, poiché la sovrapposizione tra i suoi risultati e gli altri principali feed di intelligence sulle minacce è minima.


[1] Questo numero si basa su un set di dati che include solo i nomi di dominio risolti con successo (rcode 0). Includendo anche gli altri codici rcode, il numero sale a 92 milioni.