Nieuw Frans-Nederlands onderzoeksproject naar automatische classificatie domeinnaammisbruik

2 wegwijsbordjes, waarvan er eentje naar links wijst (Compromised) en eentje naar rechts (Mailiciously registered)

SIDN Labs, AFNIC Labs en Grenoble Alps University starten op 1 oktober 2018 een nieuw project met de titel “Classification of compromised versus maliciously registered domains” (COMAR). Het Frans-Nederlandse projectteam onderzoekt of we automatisch onderscheid kunnen maken tussen domeinen die cybercriminelen speciaal hebben geregistreerd om er kwaad mee te doen en domeinen die zijn gehackt via kwetsbaarheden in webapplicaties. Hiermee kunnen partijen als registrars en ccTLD-registries hun anti-misbruikprocessen verder optimaliseren.

Domeinnaammisbruik

Domeinnamen zijn de virtuele uithangborden waarmee we gemakkelijk de IP-adressen van de vele online diensten die we dagelijks gebruiken kunnen vinden. Hoewel verreweg de meeste domeinnamen met goede bedoelingen worden geregistreerd en gebruikt, zijn er helaas cybercriminelen die ze misbruiken voor bijvoorbeeld grootschalige phishing-aanvallen, drive-by-downloads en spamcampagnes. Organisaties als de Anti-Phishing Working GroupLink opent in een nieuwe browsertab (APWG) en Stop BadwareLink opent in een nieuwe browsertab verzamelen informatie over dergelijke misbruikte domeinnamen en delen deze met hun gebruikers (bijvoorbeeld hostingproviders en domeinnaamregistries) in de vorm van zwarte lijsten met URL’s. Deze URL’s worden aangeduid als ‘blacklisted’.

Gehackte versus kwaadwillend geregistreerde domeinen

Zowel de operationele als in de wetenschappelijke gemeenschap onderscheidt 2 typen domeinnaammisbruik: het hacken van legitieme bestaande domeinen en het opzettelijk voor misbruik registreren van nieuwe domeinen [1][2]. Een voorbeeld van een gehackte domeinnaam is studentflats.gr, een legitieme WordpressLink opent in een nieuwe browsertab-site die door cybercriminelen werd gehackt om een phishingLink opent in een nieuwe browsertab-site voor het stelen van bankgegevens te hosten. Dit is te zien aan de blacklisted URL (http://studentflats.gr/wp-content/uploads/2016/.co.nz/login/personal-banking/login/auth_security.phpLink opent in een nieuwe browsertab), waar onder de Wordpress-directory (/wp-content) een illegaal geïnstalleerd bankscript staat (/uploads/…/auth_security.php). Een voorbeeld van een kwaadwillend geregistreerde domeinnaam is continue-details.com, die werd gebruikt als PaypalLink opent in een nieuwe browsertab phishing-site. De blacklisted URL (http://paypal.com.login.continue-details.com/) bevat weliswaar geen expliciet kwaadaardig programma zoals een PHPLink opent in een nieuwe browsertab-script, maar leidt wel naar een speciaal opgezette phishing-site met een uit 5 niveaus opgebouwde domeinnaam (continue-details.com vormt het 1e en 2e niveau en paypal.com.login voegt hier nog 3 onderliggende niveaus aan toe).

Het onderscheid tussen de 2 soorten misbruik is van essentieel omdat ze verschillende acties van verschillende tussenpartijen vereisen. Hostingproviders en webmasters concentreren zich doorgaans op het verwijderen van illegaal geïnstalleerde software op gehackte websites [3], terwijl registries (bijvoorbeeld SIDN en AFNIC) en registrars vooral de malafide domeinnaamregistraties aanpakken.

Classificatie op basis van blacklisted URL’s

Operationeel gezien gebruiken partijen meestal URL-blacklists in hun beveiligingssystemen om malafide sites automatisch te blokkeren. Maar een gehackte domeinnaam vereist een gerichtere bestrijdingsaanpak. Als een tussenpartij bijvoorbeeld studentflats.gr simpelweg blokkeert, dan wordt ook het legitieme deel van de site (de Wordpress-content) ook onbereikbaar. Wat er dus eigenlijk moet gebeuren is dat een securityexpert het malafide PHP-script handmatig of automatisch van het hosting platform verwijdert. Het is dus van groot belang voor de verdere verbetering van beveiligingssystemen om ondubbelzinnig onderscheid te kunnen maken tussen gehackte en kwaadwillend geregistreerde URL’s op zwarte lijsten.

Het einddoel van COMAR is om een automatisch lerend Link opent in een nieuwe browsertabclassificatiesysteem te ontwikkelen dat domeinen op de zwarte lijst onderverdeelt in gehackt of kwaadwillend geregistreerd. In het project evalueren we ook grondig de nauwkeurigheid van het systeem, waarna we het geschikt maken voor gebruik in een productieomgeving. Ook willen wij onderzoeken wat aanvallers doen om hun winst te maximaliseren en wat hun verdienmodel is. Door de classifier toe te passen op nog ongeclassificeerde blacklisted URL’s willen we antwoord te krijgen op vragen als ‘Geven internetcriminelen de voorkeur aan het registreren van malafide domeinen, het hacken van kwetsbare websites of aan het misbruiken van domeinen van legitieme diensten, zoals clouddiensten voor bestandsopslag?’

De capaciteiten en belangen van partners

De COMAR-partners hebben alle 3 uitgebreide ervaring met het analyseren van grote heterogene datasets en het bouwen van onderliggende platformen. Grenoble Alps UniversityLink opent in een nieuwe browsertab gaat zich concentreren op statistische analyse van grootschalige internetmetingen en incidentgegevens en het publiceren van wetenschappelijke rapporten. De beide registry-labs richten hun aandacht op het operationeel maken van het COMAR-classificatiesysteem. Dit met het oog op toepassing bij bijvoorbeeld SIDNLink opent in een nieuwe browsertab en AFNICLink opent in een nieuwe browsertab en het beschikbaar stellen aan hun stakeholders, zoals .nl-en .fr-registrars. De complementariteit van de projectpartners sluit aan bij de noodzaak voor registries om hun expertise voortdurend uit te breiden. Hiermee verhogen zede beveiliging van hun top-level domeinen (TLD’s) en daarmee uiteindelijk de betrouwbaarheid voor eindgebruikers.

Sourena Maroofi,  PhD-student bij Grenoble Alps University, gaat het COMAR-systeem ontwikkelen en evalueren. Dit doet hij onder begeleiding van COMAR’s hoofdonderzoeker Maciej Korczyński. Het door SIDN en AFNIC gefinancierde project start op 1 oktober 2018 en duurt 3 jaar. De bestuurscommissie bestaat uit Cristian Hesselman (SIDN Labs), Benoît Ampeau (AFNIC Labs) en Maciej Korczyński (Drakkar-team, Grenoble INP, Grenoble Alps University).

Over de COMAR-partners

COMAR is een gezamenlijk project tussen SIDN Labs, AFNIC Labs en Grenoble Alps University.

SIDN Labs is het researchteam van SIDN, de registry van het topleveldomein .nl (TLD). SIDN Labs heeft als doel om de operationele veiligheid en stabiliteit van het communicatietraject tussen machines op het internet te verhogen door metingen en het ontwikkelen van nieuwe technologie die op wereldniveau mee kan. Onze onderzoeksuitdagingen hebben onder meer betrekking op de veiligheid en stabiliteit van het Domain Name System (DNS) en de internetinfrastructuur, en op de evolutie van het internet.

AFNIC LabsLink opent in een nieuwe browsertab is een kernteam binnen Afnic dat zich richt op de evolutie en toekomst van het internet. Afnic beheert Franse TLD-extensies en biedt ook technische registrydiensten aan bedrijven en plaatselijke overheden. Afnic Labs initieert en levert dagelijks bijdragen aan projecten die aansluiten bij Afnic’s doelstellingen: een veilig en stabiel internet dat open staat voor innovatie en waarin de Franse internetgemeenschap een sleutelrol speelt. Net als bij andere samenwerkingsverbanden waarbij Afnic betrokken is, is Afnic Labs overtuigd van de toegevoegde waarde van het doen van gezamenlijk onderzoek en daarmee in COMAR de basis te leggen voor een uiterst waardevol, technologisch volwassen en geavanceerd classificatiesysteem.

Grenoble Alps UniversityLink opent in een nieuwe browsertab streeft ernaar om een toonaangevend onderzoekscentrum voor cybersecurity op te zetten in de Rhône-Alpes regio in Frankrijk, met speciale aandacht voor actieve en passieve cybersecurity metingen. De leden van het Drakkar-team hebben ervaring met samenwerkingsprojecten met rechtshandhavingsinstanties, beveiligingsorganisaties en beleidsorganisaties gericht op het bestrijden van internetcriminaliteit. Het team is vooral geïnteresseerd in de statistische analyse van grootschalige internetmetingen en incidentgegevens om vast te stellen hoe cybercriminelen domeinnamen misbruiken en hoe aanbieders van internetdiensten met veiligheidsrisico’s en incidenten omgaan. Het COMAR-project staat hierbij centraal.

Projectwebsite: www.comar-project.fr en www.comar-project.nl (binnenkort online).

Verdere literatuur

  1. "Cybercrime After the Sunrise: A Statistical Analysis of DNS Abuse in New gTLDs", Maciej Korczyński, Maarten Wullink, Samaneh Tajalizadehkhoob, Giovane C.M. Moura, Arman Noroozian, Drew Bagley, Cristian Hesselman, in Proc. of ACM AsiaCCS, Korea, juni 2018

  2. “Global Phishing Survey: Trends and Domain Name Use in 2016”, Greg Aaron & Rod Rasmussen”. Van: http://docs.apwg.org/reports/APWG_Global_ Phishing_Report_2015-2016.pdf, 2017

  3. “Herding Vulnerable Cats: A Statistical Approach to Disentangle Joint Responsibility for Web Security in Shared Hosting”, Samaneh Tajalizadehkhoob, Tom van Goethem, Maciej Korczyński, Arman Noroozian, Rainer Bohme, Tyler Moore, Wouter Joosen, Michel van Eeten, in Proc. of ACM CCS, oktober 2017