Akamai: rilevati 13 milioni di domini pericolosi in 1 mese grazie ai Newly Observed Domain
I ricercatori di Akamai hanno segnalato quasi 79 milioni di domini come malevoli nella prima metà del 2022, sulla base del nuovo dataset Newly Observed Domain (NOD)
Akamai ha confrontato l’approccio di rilevamento delle minacce informatiche basato sui NOD con quello di un altro noto aggregatore di informazioni per valutarne il livello di risoluzione e il tempo medio di rilevamento, riscontrando un notevole livello di affidabilità
Il rilevamento delle minacce basato sui NOD consente di esaminare la “long tail” delle query DNS e di individuare nuove minacce dannose già in una fase preliminare
Le istanze CacheServe di Akamai gestiscono attualmente più di 80 milioni di query DNS al secondo, ovvero circa 7.000 miliardi di richieste al giorno, provenienti da tutto il mondo. Un sottoinsieme reso anonimo di questi dati raggiunge il team Akamai Security Research, dove i ricercatori si impegnano per rendere la vita online più sicura.
Come è già noto, le destinazioni dei link non sono sempre sicure e se è considerata malevola, i sistemi di Akamai sono in grado di intervenire per evitare che gli utenti siano vittime di ransomware, malware, phishing e altre minacce. l set di dati NOD (Newly Observed Domain) vengono utilizzati per segnalare nuovi domini pericolosi con un tempo medio di rilevamento (MTTD) molto ridotto, risultando così utili al fine di proteggere clienti e utenti finali.
Alcuni degli utenti CacheServe (in genere gli ISP) di Akamai forniscono query DNS anonimizzati, come ad esempio i Fully Qualified Domain Name (FQDN) e gli indirizzi IP. Da questi dati è possibile estrarre i nomi di dominio e tenere traccia di quando sia stato cercato per l’ultima volta. Quando un nome di dominio viene interrogato per la prima volta nel corso degli ultimi 60 giorni è considerato un Newly Observed Domain (NOD).
Il dataset NOD permette di analizzare quella che viene spesso definita “long tail”, in questo caso la long tail delle query DNS. In questo set di dati si trovano nomi di dominio recentemente registrati, errori di battitura e domini che vengono cercati molto raramente a livello globale.
Altre aziende che monitorano i NOD hanno dichiarato di utilizzare una finestra temporale compresa tra 30 minuti e 72 ore. Si tratta di un intervallo di tempo molto diverso rispetto a quello di 60 giorni considerato da Akamai ed è in questo sottoinsieme che i suoi ricercatori hanno scovato una grande quantità di minacce informatiche nuove ed emergenti basate sul DNS.
Inoltre, Akamai monitora le query DNS non risolte (NXDOMAIN) in quanto la maggior parte dei domini in cui il malware tenta di infiltrarsi, non sono registrati e ciò comporta un aumento delle dimensioni del dataset di circa un ordine di grandezza, una condizione che consente agli esperti di sicurezza di Akamai di analizzare il quadro completo piuttosto che un campione parziale.
Per avere un’idea dell’aspetto effettivo del dataset NOD, la Figura 1 propone un campione del 3 marzo 2022 che dimostra la pericolosità dei NOD.
aa65ef[.]ch
i3oq6565ybln1l14[.]com
1z4e1feu8flth[.]com
fkyjtgqnodzv0n0[.]com
xmyc[.]ren
bx76-lzlirxpp6[.]com
vcd7alw-x34ujurr7aeciih9l8[.]com
yporqueyo[.]com
avdl2-li2tmw86[.]com
vnfwjetwwqqddnundjgk[.]jp
lynnesilkmandesig[.]com
aa73ve[.]ch
Ogni giorno, il team di Akamai osserva un totale di circa 12 milioni di nuovi NOD, di cui poco più di 2 milioni vengono risolti con successo. Nei primi 6 mesi del 2022, quasi 79 milioni di nomi di dominio sono stati segnalati come pericolosi grazie al rilevamento delle minacce basato sui NOD, rendendolo una componente chiave nei meccanismi di rilevamento.
Molti nomi presenti nel dataset NOD sono difficilmente digitabili in una finestra del browser. Non sono interpretabili dall’uomo e sembrano generati da computer. Ad esempio, spesso vengono inserite delle cifre, in modo da ridurre la possibilità che i domini generati siano già stati registrati.
Normalmente, gli aggressori registrano in blocco migliaia di nomi di dominio. In questo modo, se uno o più domini vengono segnalati e bloccati, possono semplicemente utilizzarne un altro. In genere questi nomi di dominio vengono creati in modo automatico, utilizzando un algoritmo di generazione dei domini (DGA). Questo processo automatizzato contribuisce a rendere pericolosi questi NOD, perché favorisce un attacco continuativo ai danni di una organizzazione.
Le minacce più comuni che utilizzano questa tecnica includono malware, attacchi ransomware, cryptominer, typosquatting (spesso utilizzato per il phishing), botnet e APT. Maggiore è la rapidità con cui vengono rilevati questi tipi di schemi e nomi generati da computer, maggiore è il numero di minacce che possono essere neutralizzate prima di diventare pericolose.
Quanto è efficace e rapido Akamai nel rilevamento delle minacce?
Considerando un arco temporale dal 1° gennaio 2022 alla fine di giugno 2022, i sistemi di rilevamento del team di Akamai hanno segnalato come pericoloso il 20,1% di tutti i NOD pari a quasi 79 milioni di nomi di dominio malevoli unici in un periodo di 6 mesi, solo sulla base del codice rcode 0.
Considerando tutti i NOD segnalati come pericolosi e analizzando tutti i nomi di dominio che erano stati cercati almeno una volta nel database, Akamai ha scoperto che il 91,4% dei NOD segnalati come dannosi non erano di fatto presenti. Inoltre, tra i nomi trovati, oltre il 99,9% aveva una “reputation” pari a 0, cioè non erano ancora stati identificati come benigni o malevoli, ma erano semplicemente stati cercati dagli utenti.
Per tutti i nomi di dominio che i ricercatori di Akamai hanno segnalato, sono riusciti a ottenere una valutazione da parte dell’aggregatore noto solo per circa 1 nome di dominio su 11.000.
Ciò che è possibile concludere da questi dati, è che il set di dati NOD fornisce un valore complementare, poiché la sovrapposizione tra i suoi risultati e gli altri principali feed di intelligence sulle minacce è minima.
Maggiori informazioni sul rilevamento delle minacce basato sui NOD e sulle modalità che hanno permesso ai ricercatori di Akamai di individuare quasi 79 milioni di domini come pericolosi grazie a Newly Observed Domain sono disponibili nel blogpost completo a questo link.
Informazioni su Akamai
Akamai potenzia e protegge la vita online. Le principali aziende al mondo scelgono Akamai per creare, offrire e proteggere le loro experience digitali, aiutando miliardi di persone a vivere, lavorare e giocare ogni giorno. Con la piattaforma di computing più distribuita al mondo, dal cloud all’edge, siamo in grado di semplificare lo sviluppo e l’esecuzione di applicazioni per i nostri clienti, avvicinando le experience agli utenti e allontanando le minacce. Per scoprire ulteriori informazioni sulla sicurezza, sull’elaborazione e sulla delivery delle soluzioni di Akamai, potete visitare l’indirizzo akamai.com/it o akamai.com/it/blog e seguire Akamai Technologies su Twitter e LinkedIn