taló Anticipant nous dominis de correu brossa mitjançant l'aprenentatge automàtic - Unite.AI
Connecteu-vos amb nosaltres
   Seguretat cibernètica  
Anticipant nous dominis de correu brossa mitjançant l'aprenentatge automàtic
 mm
publicat
 Fa anys 2
 on
   
 
Investigadors de França han ideat un mètode per identificar els dominis recentment registrats que és probable que s'utilitzin d'una manera "coberta i executada" pels emissors de correu brossa de gran volum, de vegades, fins i tot abans que els spammers hagin enviat un correu electrònic no desitjat.
La tècnica es basa en l'anàlisi de la manera en què el marc de política del remitent (SPF), un mètode per verificar la procedència del correu electrònic, s'ha configurat als dominis recentment registrats.
Gràcies a l'ús de passiu Sensors DNS (sistema de noms de domini), els investigadors van poder obtenir dades DNS gairebé en temps real de l'empresa Farsight, amb seu a Seattle, produint activitat SPF per Registres TXT per a una sèrie de dominis.
Utilitzant originalment un algorisme de pes de classe dissenyat per al tractament de dades mèdiques desequilibrades, i implementat en el scikit-aprendre A la biblioteca Python d'aprenentatge automàtic, els investigadors van poder detectar tres quartes parts dels dominis de correu brossa pendents en uns moments, o fins i tot abans del seu funcionament.
El document diu:
'Amb una sola sol·licitud al registre TXT, detectem el 75% dels dominis de correu brossa, possiblement abans de l'inici de la campanya de correu brossa. Així, el nostre esquema aporta una velocitat de reacció important: podem detectar els spammers amb un bon rendiment fins i tot abans que s'enviï qualsevol correu i abans d'un augment del trànsit DNS.'
Els investigadors afirmen que les característiques utilitzades en la seva tècnica es podrien afegir als sistemes de detecció de correu brossa existents per augmentar el rendiment i sense afegir una sobrecàrrega de càlcul important, ja que el sistema es basa en dades SPF inferides passivament de fonts DNS gairebé en temps real que ja estan en ús. per a diferents enfocaments del problema.
El paper es titula Detecció precoç de dominis de correu brossa amb DNS passiu i SPF, i prové de tres investigadors de la Universitat de Grenoble.
Activitat SPF 
SPF està dissenyat per evitar la falsificació d'adreces de correu electrònic, verificant que s'ha utilitzat una adreça IP registrada i autoritzada per enviar un correu electrònic.
En aquest exemple de SPF, "Alice" envia un correu electrònic benigne a "Bob", mentre que l'atacant "Mallory" intenta suplantar l'Alice. Tots dos envien correu des dels seus propis dominis, però només el servidor de l'Alice està registrat per enviar el correu d'Alice, de manera que la falsificació de Mallory es veu frustrada quan el seu correu fals falla la verificació SPF.
 En aquest exemple de SPF, "Alice" envia un correu electrònic benigne a "Bob", mentre que l'atacant "Mallory" intenta suplantar l'Alice. Tots dos envien correu des dels seus propis dominis, però només el servidor de l'Alice està registrat per enviar el correu d'Alice, de manera que la falsificació de Mallory es veu frustrada quan el seu correu fals falla la verificació SPF.  Font: https://arxiv.org/pdf/2205.01932.pdf
Altres mètodes de verificació del correu electrònic inclouen el correu identificat amb DomainKeys (extensió dkim) Signatures i autenticació, informes i conformitat de missatges basats en domini (Extensió DMARC).
Els tres mètodes s'han de registrar com a registres TXT (configuració) al registrador de dominis per al domini d'enviament autèntic.
Correu brossa i gravar
Els spammers mostren un "comportament de signatura" en aquest sentit. La seva intenció (o, almenys, l'efecte col·lateral de les seves activitats) és "cremar" la reputació del domini i les seves adreces IP eliminant el correu massiu fins que els proveïdors de xarxa venen aquests serveis; o les adreces IP associades es registren amb llistes populars de filtres de correu brossa, cosa que les fa inútils per al remitent actual (i problemàtica per als futurs propietaris de les adreces IP).
Una finestra d'oportunitat estreta: el temps, en hores, abans que un nou domini de correu brossa sigui prohibit i inutilitzat per SpamHaus i diversos altres serveis de monitoratge.
 Una finestra d'oportunitat estreta: el temps, en hores, abans que un nou domini de correu brossa sigui prohibit i inutilitzat per SpamHaus i diversos altres serveis de monitoratge.
Quan la ubicació del domini ja no és practicable, els emissors de correu brossa passen a altres dominis i serveis segons sigui necessari, repetint el procediment amb noves adreces IP i configuracions.
Dades i mètodes
Els dominis estudiats per a la investigació cobreixen el període de temps entre maig i agost de 2021, tal com proporciona Farsight. Només es van considerar els dominis recentment registrats, ja que això coincideix amb el modus operandi del spammer persistent.
La llista de dominis es va crear a partir de dades del Servei de dades de la zona central (CZDS) de l'ICANN. Informació de la llista negra del SURBL i SpamHaus Projectes es va utilitzar per identificar en temps real els nous registres de dominis potencialment problemàtics, tot i que els autors admeten que la naturalesa imperfecta de les llistes de correu brossa pot provocar que dominis benignes siguin categoritzats accidentalment com a fonts potencials de correu massiu.
Després de capturar consultes DNS TXT als dominis recentment registrats que es troben al canal DNS passiu, només es van conservar les consultes amb dades SPF vàlides, proporcionant la veritat bàsica dels algorismes.
SPF té una sèrie de funcions utilitzables; el nou document ha descobert que, si bé els propietaris de dominis "benignes" solen utilitzar el +incloure mecanisme, els spammers tenen el major ús del (ara obsolet) +ptr característica.
Ús de la regla SPF dels spammers, en comparació amb l'ús estàndard.
 Ús de la regla SPF dels spammers, en comparació amb l'ús estàndard.
Una cerca +ptr compara l'adreça IP del correu enviat amb els registres existents per a una associació entre aquesta IP i el nom d'amfitrió (és a dir, GoDaddy). Si es descobreix el nom d'amfitrió, el seu domini es compara amb el que es va utilitzar per primera vegada per fer referència al registre SPF.
Els spammers poden aprofitar l'aparent rigor de +ptr per presentar-se d'una manera més creïble, quan de fet, els recursos necessaris per dur a terme cerques de +ptr a escala fan que molts proveïdors s'ometin completament la comprovació.
En resum, la manera en què els spammers utilitzen SPF per tal d'assegurar una finestra d'oportunitat abans que comenci l'operació de "explosió i crema" representa una signatura característica que es pot inferir mitjançant l'anàlisi de la màquina.
Relacions SPF característiques per a dominis de correu brossa.
 Relacions SPF característiques per a dominis de correu brossa.
Com que els spammers sovint es mouen a intervals i recursos d'IP molt propers, els investigadors van desenvolupar un gràfic de relacions per explorar la correlació entre els intervals i els dominis d'IP. El gràfic es pot actualitzar gairebé en temps real en resposta a noves dades de SpamHaus i altres fonts, fent-se més útil i completa amb el pas del temps.
Els investigadors afirmen:
"L'estudi d'aquestes estructures pot destacar possibles dominis de correu brossa. Al nostre conjunt de dades, hem trobat [estructures] en què desenes de dominis utilitzaven la mateixa regla [SPF] i la majoria d'ells apareixien a les llistes negres de correu brossa. Com a tal, és raonable suposar que és probable que els dominis restants encara no s'hagin detectat o que encara no siguin dominis de correu brossa actius.'
Resultats
Els investigadors van comparar la latència de detecció del domini de correu brossa del seu enfocament a SpamHaus i SURBL durant un període de 50 hores. Informen que per al 70% dels dominis de correu brossa identificats, el seu propi sistema era més ràpid, tot i que reconeixen que el 26% dels dominis de correu brossa identificats van aparèixer a les llistes negres comercials l'hora següent. El 30% dels dominis ja estaven en una llista negra quan van aparèixer al feed DNS passiu.
Els autors afirmen una puntuació F1 del 79% contra la veritat terrestre basada en una única consulta DNS, mentre que els mètodes competidors com ara Exposició pot requerir una setmana d'anàlisi preliminar.
Observen:
"El nostre esquema es pot aplicar en les primeres etapes del cicle de vida d'un domini: utilitzant DNS passiu (o actiu), podem obtenir regles SPF per a dominis recentment registrats i classificar-los immediatament, o esperar fins que detectem consultes TXT a aquest domini i perfeccionem el classificació utilitzant característiques temporals difícils d'eludir.'
I continua:
"[El nostre] millor classificador detecta el 85% dels dominis de correu brossa mentre manté una taxa de falsos positius per sota de l'1%. Els resultats de la detecció són notables atès que la classificació només utilitza el contingut de les regles SPF del domini i les seves relacions, i característiques difícils d'eludir basades en el trànsit DNS. 
"El rendiment dels classificadors es manté alt, fins i tot si només se'ls ofereix les característiques estàtiques que es poden obtenir a partir d'una única consulta TXT (observada de forma passiva o consultada activament)."
Per veure una presentació sobre el nou mètode, mireu el vídeo incrustat a continuació:
Ponència: Detecció precoç de dominis de correu brossa amb DNS passiu i SPF
 
Publicat per primera vegada el 5 de maig de 2022.
       
 Temes relacionats:
 mm
Escriptor sobre aprenentatge automàtic, intel·ligència artificial i big data.
 Lloc personal:  martinanderson.ai
 Poseu-vos en contacte amb:  [protegit per correu electrònic]
 Twitter: @manders_ai