stomp Anticiperen op nieuwe spamdomeinen door machine learning - Unite.AI
Verbind je met ons
   Cybersecurity  
Anticiperen op nieuwe spamdomeinen door middel van machinaal leren
 mm
gepubliceerd
 2 jaar geleden
 on
   
 
Onderzoekers uit Frankrijk hebben een methode bedacht om nieuw geregistreerde domeinen te identificeren die waarschijnlijk op een 'hit and run'-manier zullen worden gebruikt door grootschalige e-mailspammers – soms zelfs voordat de spammers één ongewenste e-mail hebben verzonden.
De techniek is gebaseerd op analyse van de manier waarop het Sender Policy Framework (SPF), een methode om de herkomst van e-mails te verifiëren, is ingesteld op nieuw geregistreerde domeinen.
Dankzij het gebruik van passief DNS-sensoren (Domain Name System), konden de onderzoekers bijna realtime DNS-gegevens verkrijgen van het in Seattle gevestigde bedrijf Farsight, wat SPF-activiteit opleverde voor TXT-records voor een reeks domeinen.
Oorspronkelijk met behulp van een klassegewichtsalgoritme ontworpen voor het verwerken van onevenwichtige medische gegevens, en geïmplementeerd in de scikit-leren machine learning Python-bibliotheek konden de onderzoekers driekwart van de in behandeling zijnde spamdomeinen binnen enkele ogenblikken of zelfs vóór hun werking detecteren.
In de krant staat:
'Met een enkele aanvraag aan het TXT-record detecteren we 75% van de spamdomeinen, mogelijk nog voor de start van de spamcampagne. Ons schema brengt dus een belangrijke reactiesnelheid met zich mee: we kunnen spammers met goede prestaties detecteren nog voordat er mail wordt verzonden en voordat er een piek in het DNS-verkeer optreedt.'
De onderzoekers beweren dat de functies die in hun techniek worden gebruikt, kunnen worden toegevoegd aan bestaande spamdetectiesystemen om de prestaties te verbeteren, en zonder significante rekenkosten toe te voegen, aangezien het systeem afhankelijk is van SPF-gegevens die passief worden afgeleid uit bijna realtime DNS-feeds die al in gebruik zijn. voor verschillende benaderingen van het probleem.
De papier is getiteld Vroegtijdige detectie van spamdomeinen met passieve DNS en SPF, en is afkomstig van drie onderzoekers van de Universiteit van Grenoble.
SPF-activiteit 
SPF is ontworpen om spoofing van e-mailadressen te voorkomen door te verifiëren dat een geregistreerd en geautoriseerd IP-adres is gebruikt om een ​​e-mail te verzenden.
In dit voorbeeld van SPF stuurt 'Alice' een goedaardige e-mail naar 'Bob', terwijl de aanvaller 'Mallory' zich voordoet als Alice. Beiden verzenden e-mail vanaf hun eigen domein, maar alleen de server van Alice is geregistreerd om de e-mail van Alice te verzenden, dus Mallory's spoof wordt gedwarsboomd wanneer zijn nep-mail de SPF-verificatie niet doorstaat.
 In dit voorbeeld van SPF stuurt 'Alice' een goedaardige e-mail naar 'Bob', terwijl de aanvaller 'Mallory' Alice probeert na te doen. Beiden verzenden e-mail vanaf hun eigen domein, maar alleen de server van Alice is geregistreerd om de e-mail van Alice te verzenden, dus Mallory's spoof wordt gedwarsboomd wanneer zijn nep-mail de SPF-verificatie niet doorstaat.  Bron: https://arxiv.org/pdf/2205.01932.pdf
Andere methoden voor e-mailverificatie zijn DomainKeys Identified Mail (DKIM) Handtekeningen en op domein gebaseerde berichtauthenticatie, rapportage en conformiteit (DMARC).
Alle drie de methoden moeten worden geregistreerd als TXT-records (configuratie-instellingen) bij de domeinregistreerder voor het authentieke verzendende domein.
Spam en brand
Spammers vertonen wat dat betreft 'signatuurgedrag'. Hun bedoeling (of in ieder geval het neveneffect van hun activiteiten) is om de reputatie van het domein en zijn IP-adressen te 'verbranden' door bulkmail uit te zenden totdat een van beide actie wordt ondernomen door de netwerkproviders die deze diensten verkopen; of de bijbehorende IP-adressen zijn geregistreerd bij populaire spamfilterlijsten, waardoor ze onbruikbaar worden voor de huidige afzender (en problematisch voor de toekomstige eigenaren van de IP-adressen).
Een kleine kans: de tijd, in uren, voordat een nieuw spamdomein wordt verbannen en onbruikbaar wordt gemaakt door SpamHaus en diverse andere controlediensten.
 Een kleine kans: de tijd, in uren, voordat een nieuw spamdomein wordt verbannen en onbruikbaar wordt gemaakt door SpamHaus en diverse andere controlediensten.
Wanneer de domeinlocatie niet langer praktisch is, gaan de spammers indien nodig verder naar andere domeinen en services, waarbij ze de procedure herhalen met nieuwe IP-adressen en configuraties.
Gegevens en methoden
De onderzochte domeinen voor het onderzoek beslaan de periode tussen mei en augustus 2021, zoals verstrekt door Farsight. Alleen nieuw geregistreerde domeinen werden overwogen, aangezien dit in overeenstemming is met de modus operandi van de hardnekkige spammer.
De domeinlijst is opgebouwd op basis van gegevens van de ICANN Central Zone Data Service (CZDS). Blacklist-informatie van de SURBL en SpamHaus projects werd gebruikt om bijna realtime identificatie van mogelijk problematische nieuwe domeinregistraties uit te voeren - hoewel de auteurs toegeven dat de onvolmaakte aard van spamlijsten ertoe kan leiden dat goedaardige domeinen per ongeluk worden gecategoriseerd als potentiële bronnen van bulkmail.
Na het vastleggen van DNS TXT-query's naar de nieuw geregistreerde domeinen die in de passieve DNS-feed werden gevonden, werden alleen queries met geldige SPF-gegevens behouden, wat de basiswaarheid voor de algoritmen opleverde.
SPF heeft een aantal bruikbare functies; de nieuwe paper heeft ontdekt dat hoewel 'goedaardige' domeineigenaren meestal de +opnemen mechanisme, maken spammers het meest gebruik van de (inmiddels verouderde) +pt kenmerken.
SPF-regelgebruik van spammers, vergeleken met standaardgebruik.
 SPF-regelgebruik van spammers, vergeleken met standaardgebruik.
Een +ptr-lookup vergelijkt het IP-adres van de verzendende e-mail met de records die bestaan ​​voor een verband tussen dat IP-adres en de hostnaam (bijv. GoDaddy). Als de hostnaam wordt ontdekt, wordt het domein ervan vergeleken met het domein dat voor het eerst werd gebruikt om naar het SPF-record te verwijzen.
Spammers kunnen de schijnbare striktheid van +ptr uitbuiten om zichzelf in een geloofwaardiger daglicht te stellen, terwijl in feite de middelen die nodig zijn om +ptr-zoekopdrachten op grote schaal uit te voeren, ervoor zorgen dat veel providers de controle helemaal overslaan.
Kortom, de manier waarop spammers SPF gebruiken om een ​​kans veilig te stellen voordat de 'blast and burn'-operatie begint, vertegenwoordigt een kenmerkende signatuur die kan worden afgeleid uit machineanalyse.
Karakteristieke SPF-relaties voor spamdomeinen.
 Karakteristieke SPF-relaties voor spamdomeinen.
Aangezien spammers zich vaak verplaatsen naar IP-bereiken en bronnen die zeer dichtbij zijn, ontwikkelden de onderzoekers een relatiegrafiek om de correlatie tussen IP-bereiken en domeinen te onderzoeken. De grafiek kan bijna in realtime worden bijgewerkt als reactie op nieuwe gegevens van SpamHaus en andere bronnen, en wordt in de loop van de tijd nuttiger en completer.
De onderzoekers stellen:
'De studie van deze structuren kan potentiële spamdomeinen aan het licht brengen. In onze dataset vonden we [structuren] waarin tientallen domeinen dezelfde [SPF]-regel gebruikten en waarvan de meeste op spam-zwarte lijsten stonden. Het is dus redelijk om aan te nemen dat de resterende domeinen waarschijnlijk nog niet zijn gedetecteerd of nog geen actieve spamdomeinen zijn.'
Resultaten
De onderzoekers vergeleken de latentie van spamdomeindetectie van hun benadering van SpamHaus en SURBL over een periode van 50 uur. Ze melden dat voor 70% van de geïdentificeerde spamdomeinen hun eigen systeem sneller was, hoewel ze toegeven dat 26% van de geïdentificeerde spamdomeinen in het volgende uur op de commerciële zwarte lijsten verscheen. 30% van de domeinen stond al op een zwarte lijst toen ze in de passieve DNS-feed verschenen.
De auteurs claimen een F1-score van 79% tegen grondwaarheid op basis van een enkele DNS-query, terwijl concurrerende methoden zoals Media kan een week van voorbereidende analyse vereisen.
Ze observeren:
'Ons schema kan worden toegepast in vroege stadia van de levenscyclus van een domein: met behulp van passieve (of actieve) DNS kunnen we SPF-regels verkrijgen voor nieuw geregistreerde domeinen en deze onmiddellijk classificeren, of wachten tot we TXT-query's naar dat domein detecteren en de classificatie met behulp van moeilijk te ontwijken temporele kenmerken.'
En doorgaan:
'[Onze] beste classifier detecteert 85% van de spamdomeinen en houdt het fout-positieve percentage onder de 1%. De detectieresultaten zijn opmerkelijk, aangezien de classificatie alleen de inhoud van de SPF-regels van het domein en hun relaties gebruikt, en moeilijk te omzeilen functies op basis van DNS-verkeer. 
'De prestaties van de classifiers blijven hoog, zelfs als ze alleen de statische kenmerken krijgen die kunnen worden verzameld uit een enkele TXT-query (passief waargenomen of actief bevraagd).'
Bekijk de ingesloten video hieronder om een ​​presentatie over de nieuwe methode te zien:
Paper: Vroege detectie van spamdomeinen met passieve DNS en SPF
 
Voor het eerst gepubliceerd op 5 mei 2022.
       
 Gerelateerde onderwerpen:
 mm
Schrijver over machine learning, kunstmatige intelligentie en big data.
 Persoonlijke site:  martinanderson.ai
 Contact:  [e-mail beveiligd]
 Twitter: @manders_ai