Om cybercriminelen buiten te houden, is het van belang om verdachte domeinnaamregistraties snel te herkennen. DNS Belgium brengt in kaart met welke data je die analyses doet, en wat die data vertelt?
Phishing , malwareverspreiding, frauduleuze webshops of spam maken vaak gebruik van een domeinnamen. Daarom is het belangrijk voor elke registry om verdachte domeinnaamregistraties snel en accuraat te detecteren.
Om dat efficiënt te doen steunen we op verschillende databronnen, maar die zitten doorgaans versnipperd doorheen het online landschap. Thomas Daniels, onderzoeker bij DNS Belgium, schrijft daarom in samenwerking met het NetBeacon Institute en de KU Leuven een whitepaper die de belangrijkste databronnen oplijst en toelicht voor registries, cybersecurityonderzoekers en mensen uit de sector.
Met deze whitepaper willen we een startpunt geven voor de vele databronnen die er zijn om verdachte domeinnamen efficiënt en snel te detecteren.
Meer dan een zwarte lijst
Een logisch begin zijn de vele blocklists en abuse feeds waar gegevens over phishing of malwareaanvallen verschijnen. Die zijn nuttig, maar detecteren niet alles. Zeker wie vroegtijdig een verdachte domeinnaamregistratie wil detecteren combineert best meerdere databronnen.
Historische data
Het loont ook om terug te blikken om vervolgens vooruit te kunnen kijken. De historische registratiedatabase van een registry geeft niet enkel inzicht in welke registraties er zijn, maar ook hun wijzigingen, transfers en verwijderingen doorheen de tijd.
Dat in combinatie met data over gekende malafide registraties maakt het mogelijk om patronen te achterhalen: zaken als het registratietijdstip of bepaalde keuzes die terugkeren verraden vaak dat het niet om een normale domeinnaam zal gaan, nog voor die wordt misbruikt.
Websites en DNS-verkeer
Door actief een zone (zoals de .be-zone) te crawlen ontdek je hoe domeinnamen worden gebruikt. Ook die data helpt om vervolgens frauduleuze webshops of phishingcampagnes te detecteren. Net zoals databronnen rond DNS-verkeer: weten welke DNS-queries in praktijk worden waargenomen en hoe ze met de tijd veranderen, zijn mogelijke signalen om verdachte domeinnamen of botnets te identificeren.
Tot slot is er ook zeer veel externe data die nuttig is om verdachte registraties te identificeren, of net vrij te spreken van enige verdenking. Populariteitslijsten zoals Tranco helpen om betrouwbare domeinen uit te filteren. Net zoals IP-gegevens of gespecialiseerde datasets rond malwaredomeinen helpen om de complexe puzzel te leggen.
Met de whitepaper van Daniels wil DNS Belgium bijdragen aan de algemene veiligheid van het internet. We brengen het aanbod aan relevante databronnen in kaart zodat iedereen in de sector een startpunt heeft om DNS abuse aan te pakken. Voor registries en securityexperts.
Is er één unieke allesomvattende aanpak? Valt misbruik honderd procent uit te sluiten? Helaas niet. Maar door databronnen te combineren en vanuit verschillende invalshoeken te analyseren, kan online misbruik sneller worden gedetecteerd en aangepakt. We hopen daarom dat de whitepaper een goede basis biedt voor iedereen die meewerkt aan een veilig internet.
Wil je meer weten?
Ontdek hoe verschillende databronnen kunnen helpen om DNS-misbruik sneller op te sporen.
Met dit artikel ondersteunen wij de Duurzame Ontwikkelingsdoelstellingen van de Verenigde Naties.