Den elektroniske infrastrukturen lar oss nyte mange tjenester som vi bruker på daglig basis. En av de vi bruker mest er emalje leverandører, men vi besøker også nettsider som er vert på forskjellige domener. Det betyr ikke at det er noen steder på Internett som brukes på en skadelig måte mot datamaskinene våre. Noen ganger kan vi se hvordan trusler som phishing og spam ofte er knyttet til bestemte domener. Hvis vi kan forstå hvordan vi kan oppdage dem, kan det bidra til å styrke vår trusselintelligens. I denne artikkelen skal vi se på hot spots for ondsinnet aktivitet på Internett.
2021 Rapport om skadelig aktivitet
DNS og domenenavnbasert prediktiv trusseletterretningsselskap DomainTools har brukt sin database med mer enn 380 millioner registrerte domener for å identifisere og rapportere om hvilke som kan utgjøre trusler. Deres første rapport er fra 2015 og i år har de forsøkt å vende tilbake til sitt opphav.
DomainTools med tjenestene det har kan tilby risikovurdering, hjelpe med å profilere angripere, veilede svindelundersøkelser på nettet og kartlegge cyberaktivitet til angriperens infrastruktur. For å ta den riktige avgjørelsen om risikonivået for trusler mot organisasjonen din, har du derfor Iris-forskningsplattformen.
Ondsinnede nettsteder har blitt identifisert i rapporten, som sjekker domenenavn mot forskjellige kjente industriblokkeringslister sammen med en telling av ondsinnede domener. Videre bruker den også et mål på "signalintensitet" basert på populasjoner av kjente defekte domener. Du kan være interessert i å vite hvilken hosting jeg trenger for firmaet mitt.
Skadelig aktivitet på domener
Rapporten avslørte at visse toppnivådomener (TLDer) har et dårlig navn blant sikkerhetsteam. I denne forbindelse er de med dårligst rykte de nyere generiske domenene som .live, .top og .xyz.
På den annen side vises ikke de mer tradisjonelle domenene som .com, .net som vi må legge til landdomener som .es, .fr og .uk på topp 10-listene over mistenkelige nettsider. Denne rapporten gir signalstyrketabeller for hver av disse tre trusseltypene (phishing, skadelig programvare, spam). Dette er et eksempel med .bar TLD-utvalget:
Her kan du se at toppdomenenivået .Kafe har en malware-signalstyrke på 108.93 . I dette tilfellet ble det funnet at det var det høyeste malware-signalet til noen TLD på Internett i henhold til metodikken som ble brukt i DomainTools for å lage denne rapporten. Du kan være interessert i å kjenne til disse metodene som de kan bruke for å snike skadevare inn i deg.
Domene geolokaliseringer og andre funn
Bortsett fra domener, så rapporten også på IP-geolokaliseringer. En opplysning han avslørte er at det finnes et stort antall ondsinnede domener i Russland og USA. Men i forhold til det totale antallet domener som er registrert på disse stedene, har de ikke en særlig viktig representasjon. På den annen side har steder som Hong Kong og Seychellene et stort antall mistenkelige domener i forhold til alt de har. I tillegg viser visse domeneregistratorer og sertifikatmyndigheter også høyere nivåer av nettsteder som er engasjert i ondsinnet aktivitet.
Et merkelig faktum er at de fleste av de nyopprettede domenene hver dag ikke viser tegn til skadelig aktivitet. I stedet konkluderer rapporten med at de fleste av de skadelige domenene er de nyere. Oppsummert, takket være DomainTools-rapporten har vi sett hvilke domener som er mer sannsynlig å ha ondsinnet aktivitet og også deres geolokalisering.
