В документе, представленном 27 октября на конференции ACM по компьютерной и коммуникационной безопасности 2016 года, исследователи описывают систему под названием PREDATOR, которая различает законных и злонамеренных покупателей новых веб-сайтов. Таким образом, система дает важную информацию о том, как эти две группы ведут себя по-разному в сети, даже до того, как злоумышленники совершат что-либо явно плохое или вредное. Эти ранние признаки вероятных злоумышленников помогают специалистам по безопасности принимать превентивные меры вместо того, чтобы ждать появления угрозы безопасности.
«Интуиция всегда заключалась в том, что способ, которым злоумышленники используют онлайн-ресурсы, каким-то образом фундаментально отличается от того, как их используют законные участники», — пояснил Фимстер. «Мы искали эти сигналы: что такого особенного в доменном имени, которое делает его автоматически идентифицируемым как плохое доменное имя?»Как только веб-сайт начинает использоваться в злонамеренных целях — например, когда на него ссылаются в кампаниях по рассылке спама или когда он устанавливает вредоносный код на машины посетителей, — защитники могут пометить его как плохой и начать блокировать.
Но к тому времени сайт уже использовался для тех видов поведения, которые мы хотим предотвратить. PREDATOR, что означает «Упреждающее распознавание и устранение злоупотребления доменом во время регистрации», опережает всех остальных.
Методы исследователей основаны на предположении, что злонамеренные пользователи будут демонстрировать поведение регистрации, отличное от поведения обычных пользователей, например, покупка и регистрация большого количества доменов одновременно, чтобы воспользоваться массовыми скидками, чтобы они могли быстро и дешево адаптироваться, когда их сайты замечены и занесены в черный список. Кроме того, преступники часто регистрируют несколько сайтов, используя небольшие вариации имен: меняя такие слова, как «дом» и «дома», или меняя порядок слов во фразах.Выявив такие шаблоны, Фимстер и его сотрудники смогли начать отсеивать более 80 000 новых доменов, регистрируемых каждый день, чтобы заранее определить, какие из них с наибольшей вероятностью могут быть использованы для нанесения вреда.
Проверяя свои результаты на известных веб-сайтах, занесенных в черный список, они обнаружили, что PREDATOR обнаружил 70 процентов вредоносных веб-сайтов, основываясь исключительно на информации, известной на момент первой регистрации этих доменов. Уровень ложных срабатываний системы PREDATOR, или процент легитимных сайтов, которые были неправильно определены инструментом как вредоносные, составил всего 0,35 процента.По словам Фимстера, способность обнаруживать вредоносные сайты в момент регистрации, прежде чем они будут использованы, может иметь множество преимуществ в плане безопасности. Эти сайты могут быть заблокированы раньше, что затрудняет их использование для причинения такого же вреда — или, действительно, любого вреда вообще, если операторам не разрешено их покупать. «PREDATOR может достичь раннего обнаружения, часто за несколько дней или недель до существующих черных списков, которые обычно не могут обнаружить злоупотребление доменом до тех пор, пока атака уже не начнется», — пишут авторы в своей статье. «Ключевым преимуществом является быстрое реагирование на защиту и ограничение периода, в течение которого злоумышленники могут выгодно использовать домен».
Кроме того, существующие инструменты блокировки, которые основываются на обнаружении вредоносной активности с веб-сайтов и последующей их блокировке, позволяют преступникам продолжать покупать новые веб-сайты. Отключение операторов вредоносных веб-сайтов в момент регистрации предотвращает эту бесконечную динамику в кошки-мышки. По словам исследователей, эта более постоянная форма защиты от сетевых угроз — большая редкость в области компьютерной безопасности, где злоумышленники часто легко обходят новые линии защиты.Чтобы система PREDATOR могла помочь обычным пользователям Интернета, она должна использоваться существующими службами черного списка доменов, такими как Spamhaus, которые поддерживают списки заблокированных веб-сайтов, или регистраторами, такими как GoDaddy.com, которые продают новые доменные имена.
"Частично мы предполагаем, что если регистратор пытается принять решение о том, регистрировать ли доменное имя, тогда, если ХИЩНИК предполагает, что доменное имя может быть использовано для злонамеренных целей, регистратор может по крайней мере подождать и провести более тщательную проверку, прежде чем он движется вперед, — сказал Фимстер.Хотя регистраторы по-прежнему должны вручную проверять попытки регистрации домена, PREDATOR предлагает им эффективный инструмент для прогнозирования потенциальных злоупотреблений. «До такой работы я не думаю, что у регистратора был бы очень простой способ даже выяснить, окажутся ли зарегистрированные им домены вредоносными», — сказал Фимстер.