OpenDNS bestrijdt malafide domeinen met NLP

[Captain Kirk]

DNS-aanbieder OpenDNS heeft een nieuw wapen dat het inzet om frauduleuze domeinen en phishingsites te herkennen, om die vervolgens te blokkeren. Bij verschillende gerichte aanvallen alsmede phishingmails worden vaak legitiem lijkende domeinen gebruikt, met als naam bijvoorbeeld "update-java", "adobe-update" en "firefoxupdata", gevolgd door een topleveldomein zoals .net of .com. Via deze domeinen worden de besmette computers bijvoorbeeld aangestuurd. Vanwege de gebruikte namen kunnen systeem- of netwerkbeheerders denken dat het hier om legitieme domeinnamen gaat en zullen daardoor niet meteen vermoeden dat de systemen besmet zijn.

Om deze domeinen toch te herkennen zet OpenDNS nu NLPRank in, dat van natural language processing (NLP) gebruik maakt. Zo krijgen domeinen die op het oorspronkelijke domein lijken dat ze proberen na te bootsen strafpunten. Een domein als g00gle.com krijgt ten opzichte van google.com twee strafpunten, omdat er twee mutaties nodig zijn om het spoofdomein op het echte domein te laten lijken.

Het systeem kijkt naast NLP ook naar zaken als de gegevens waarmee de domeinnaam is geregistreerd, HTML tags van de website zelf en of de domeinnaam zich bij dezelfde ASN bevindt als de partij die de aanvallers proberen te spoofen. Een domein dat bijvoorbeeld een Adobe-update aanbiedt hoort met een ASN van Adobe geassocieerd te zijn en niet met een ASN in Rusland. Al deze verschillende zaken maken het mogelijk voor NLPRank om een score aan een domeinnaam te geven en te bepalen of het om een mogelijke aanval gaat. Volgens OpenDNS is het systeem niet alleen effectief in het identificeren van gespoofte domeinen, maar ook een goede manier om gerichte aanvallen te voorkomen.

 

bron: security.nl