ar

التبليغ عن النطاقات المحتملة ذات الصلة بالجائحة

1 مايو 2020
بقلم Siôn LloydSiôn Lloyd

مقدمة

يستهدف أي حدث كبير عدداً من الأطراف المهتمة. حيث سيكون لبعض الأطراف سواء عبر الإنترنت أو خارجها نوايا حسنة بخصوص تلك الأحداث، ولسوء الحظ يكون للبعض الآخر خلاف ذلك. وخلال الأحداث الكبيرة ذات الأهمية الإخبارية على وجه الخصوص، تزيد حتما عمليات تسجيل النطاقات التي تحتوي على مصطلحات تتعلق بتلك الأحداث.

إن وباء COVID-19 العالمي ليس بمختلف عما سبق في أعلاه. حيث نرى أشخاصاً يقومون بتسجيل مواقع لجمع الأموال أو تقديم المساعدة للمتضررين إما بشكل مباشر أو غير مباشر. ونرى أيضاً أشخاص ينشأون نطاقات تستخدم الجائحة كفخ لاكتساب القدرة على السيطرة على حركة البيانات واستقطاب الضحايا، وإخضاع المستخدمين النهائيين للتصيّد الاحتيالي والبرامج الضارة والخدع.

وفي خضم الاستجابة لما ورد، يقوم عدد من المجموعات بجمع وإتاحة "معلومات استخباراتية عن التهديدات"، وهي معلومات وبيانات عن التهديدات الأمنية المبلغ عنها أو التي لوحظت والمتعلقة بهذه النطاقات. فبعض المجموعات مثل رابطة استخبارات تهديد COVID-19 السيبرانية و تحالف تهديدات كوفيد-19 السيبرانية، تقوم بإجراءات لمواجهة أولئك القائمين بأنشطة ضارة.

تساهم منظمة ICANN في الجهود المبذولة لمكافحة انتهاكات COVID-19 ، مستخدمين معرفتنا وخبرتنا لوضع المعلومات الاستخبارية التي تتطلب إتخاذ إجراءات، في أيدي أولئك القادرين على تعطيل تلك الحملات الخبيثة. حيث نقوم بتصفية القوائم التي تم إنشاؤها من ملفات المنطقة وإثرائها ببيانات من مصادر خارجية لتحديد أسماء النطاقات التي قد تكون ضارة من بين الأغلبية التي ليست كذلك. ومع ذلك، يجب أن نكون حريصين على عدم إضافة المزيد من الضجيج إلى أولئك الذين غُمروا بالفعل بالمعلومات التي يتم جمعها. وبعبارة أخرى، فإنه في الوقت الذي نهدف فيه إلى توفير بيانات تسمح بإجراء تقييم سريع لحالة النطاق، نحتاج أيضاً إلى مستوى عالٍ من الثقة في ذلك التقييم. وبدون كلا هاتين المسألتين، قد ينتهي بنا الأمر إلى إلحاق المزيد من الضرر بدلاً من القيام بما هو أفضل.

نعمل الآن على اصدار تقارير حول تسجيلات النطاقات الأخيرة والتي نعتقد بأنها تستخدم جائحة COVID-19 لشن حملات التصيّد والإحتيال (الانتحال) ونشر البرامجيات الضارة. وتحتوي هذه التقارير التي ستتم مشاركتها مع الأطراف المسؤولة (والتي أساساً هم أمناء السجلات أو السجلات) على الأدلة التي أدت الى اعتقاد منظمة ICANN بأن هذه النطاقات قد تم استخدامها لأغراض خبيثة وضارة، جنباً الى جنب مع المزيد من المعلومات الأساسية لمساعدة الأطراف المسؤولة على اتخاذ القرار الصحيح لمعالجة الضرر.

تفاصيل العملية

لإصدار التقارير، نقوم بفحص ملفات منطقة نطاق المستوى الأعلى العامة (gTLD) المتاحة. حيث تسمح لنا هذه الملفات بمشاهدة التسجيلات المفوضة حديثاً (على الرغم من أن عملية إنشاء التقارير الخاصة بنا يمكن أن تتلقى بالفعل مدخلات من أي مصدر للنطاقات أو لأسماء المضيفين). وعلى وجه التحديد، نبحث عن إدخالات جديدة لملف المنطقة والتي تحتوي على كلمات مثل "COVID " و "corona " و "pandemic " والمصطلحات الأخرى ذات الصلة. والقائمة الناتجة لأسماء النطاقات لن تكون كافية لاتخاذ إجراء بصددها بعد، حيث ستشمل كلا من النطاقات الصحيحة والنطاقات الضارة الخبيثة. ويتعين علينا تنقيح القائمة أكثر قبل أن تكون لدينا قناعة كاملة بخصوص المحتويات.

تتمثل الخطوة التالية بإلقاء نظرة على عدد من مصادر المعلومات الاستخبارية بخصوص التهديدات للتعرف على مؤشرات النطاق المستخدم في عمليات الخداع أو توزيع البرامجيات الضارة. ونبدأ باستخدام Virus Total و AlienVault OTX و Phishtank و Google Safe Browsing ؛ ومع ذلك، فإنه تم تصميم عملية إنشاء التقارير لدينا لتكون قابلة للتوسعة بحيث يمكن إضافة أو إزالة مصادر المعلومات الاستخبارية بخصوص التهديدات. ويمكن أن تشير البيانات المقدمة من هذه المصادر إلى أن النطاق ضار، رغم أنه في معظم الحالات نجد أن القليل منها يفتقر الى وجود دليل بشأنها. ويمكن أن يُعزى الافتقار الى وجود الأدلة الى:

  • أن العديد من النطاقات التي نراها "متوقفة"، على سبيل المثال، مسجلة بقصد البيع بربح أو تحقيق عائدات من خلال الإعلانات.
  • البعض الآخر هو نطاقات جديدة لم يتم استخدامها بعد بشكل ضار أو لم يلاحظ عليها أي سلوك مشبوه بعد.

لذا، فمن الممكن أن تتغير سمعة النطاق بمرور الوقت. ولأجل السماح بذلك، نقوم بإعادة فحص النطاقات بشكل دوري.

وتجدر الإشارة إلى أن المصادر التي نستخدمها تركز على البرامج الضارة والتصيد الاحتيالي، لذا فإن النشاط الضار الذي نراه يحدث إلى حد كبير ضمن هاتين الفئتين. نحن أيضاً نلتقط نطاقات مرتبطة بالرسائل غير المرغوب بها أو غيرها من السلوكيات غير المستحبة. ولكي نأخذ هذه النطاقات بعين الاعتبار، يجب أيضاً إدراجها في مصادر البرامج الضارة أو التصيد. وليس من غير المألوف وجود نطاقات ضمن فئات متعددة، لأن طرق الجمع المختلفة التي يستخدمها مزودو المعلومات الاستخباراتية حول التهديدات تكشف جوانب مختلفة عن أي حملة خبيثة. وأيضاَ، فإن التصنيف ليس علماً دقيقاً ويمكن أن يكون منفتحاً وخاضعاً لأي تفسير ممكن. لذلك، عندما نستخدم مصطلح "ضار" هنا فإننا نشير إلى التصيد أو البرامج الضارة؛ ومع ذلك، فإن هذا لا يمنع ظهور أي نطاق على البريد العشوائي (spam) أو أي قائمة للنطاقات التي تسلك سلوك غير مرغوب فيه.

عندما يتم العثور على دليل موثوق به حول نشاط معين وضار، فإننا نمضي بجمع المزيد من المعلومات حول النطاقات بما يتماشى مع متطلبات إعداد التقارير المحددة من قبل أمناء السجلات في دليل أمين السجل للتبليغ عن الانتهاكات. وتتضمن معلومات الإبلاغ هذه أمين السجل (ومعلومات الاتصال ذات الصلة بالانتهاك الحاصل على وجه الخصوص) ومعلومات الاستضافة وما إلى ذلك. ويتم جمع هذه المعلومات لمساعدة أولئك الذين يستلمون تقاريرنا أن يقرروا بشأن ما إذا كان سيتم اتخاذ إجراء ما (مثل تعليق النطاق) أم لا. ويمكن تلخيص عملية إنشاء التقرير كما هو موضح في المخطط الانسيابي التالي:

Reporting Potential Pandemic-Related Domains Flowchart

ويتم تجميع مخرجات هذه العملية بصيغتين مختلفتين:

  • ملخص القيم المفصولة بفواصل (CSV) الذي يحتوي على الاسم وعنوان IP الذي تم حله وسجلات خادم الاسم بالإضافة إلى درجة التقييم الأساسية من كل مصدر من مصادر المعلومات الاستخبارية حول التهديد والقيمة الإجمالية.
  • ملف التخفيض لكل نطاق والذي يحتوي على مزيد من التفاصيل حول ذلك النطاق بما في ذلك روابط إلى أدلة خارجية متى ماكانت متاحة ومناسبة.

الاحصائيات

منذ أن بدأنا هذا العمل في نهاية شهر آذار (مارس) رأينا في المتوسط ما يقرب من 3250 اسم نطاق جديد في اليوم تتطابق مع مصطلحات البحث الخاصة بنا. وقد نتج عن ذلك وحتى وقت كتابة هذا التقرير إلى وجود أكثر من 82000 اسم. من بين تلك الأسماء، وجدنا أدلة تربط ما يقرب من 7000 اسم بسلوك ضار وتمكنّا من حل النطاقات (على سبيل المثال، لم يتم تعليق أسماء النطاقات بالفعل). ففي أي يوم معين، يزداد عدد النطاقات التي تحتوي على معلومات استخباراتية مرتبطة بالتهديدات لمجرد وجود فرصة أكبر لملاحظة السلوك المرتبط بالنطاقات. وعلى هذا النحو، فإن نسبة أسماء النطاقات القديمة مع التقارير ستكون أعلى من النطاقات الأكثر حداثة. ومن ناحية أخرى، فإن النطاقات الضارة أصبح من الممكن ملاحظتها وتعليقها.

قد تلاحظ أن الأرقام التي تتم مشاركتها أقل من التقارير العامة الأخرى. فهناك نوعان من الأسباب الرئيسية لذلك:

  • نحن نبدأ بمصادر تحتوي على أسماء النطاقات الموجودة في ملفات المنطقة فقط. ونحن لا ندخل المعلومات في قوائم تحوي كافة المضيفين والتي توجد في مصادر DNS المعنية أو بعض نقاط البداية الأخرى المكافئة.
  • نحن فقط ندرج الأدلة الوافية للنشاط الضار الذي يحتاج الى حل.

يستبعد منهجنا النطاقات التي تم شراؤها من قبل المضاربين والتي تم ايقافها. فعلى الرغم من أن حظر الوصول إلى هذه النطاقات قد لا يكون مزعجاً للمستخدم النهائي، إلا أننا لا يمكننا الادعاء بكل ثقة أن هذه النطاقات ضارة.

الخلاصة

إنها لحقيقة محزنة في الحياة أنه سيكون هناك دائماً فاعلون خبيثون على استعداد لتحويل أي حالة حتى ولو كانت حالة وباءً لصالحهم. ولقد كانت استجابتنا على إساءة استخدام أسماء النطاقات هو وضع الأدلة لكل من النطاقات التي نعتقد أنها ضارة في أيادي أفضل الأشخاص لاتخاذ الإجراءات المناسبة. ونرى أيضاً أن السقف المحدد لتقديم هذا الدليل يجب أن يكون مرتفعاً بما يكفي حتى لا نساهم في إحداث ضجة أكثر من الإشارة. وتنطوي عملية إنشاء التقارير التي قمنا بتنفيذها على جهد كبير لتجنب بلاغات الانتهاكات الخاطئة. ونتطلع إلى العمل مع مجتمعنا ومع الآخرين لتحسين عملياتنا.

Authors

Siôn Lloyd

Lead Security, Stability, and Resiliency Specialist
Read biographyRead biography