Skip to main content

Detección de dominios posiblemente ligados a la pandemia

Introducción

Todo acontecimiento importante atrae a una serie de actores interesados. Tanto dentro como fuera de Internet, habrá quienes actúen con buenas intenciones y, lamentablemente, quienes obren con otros fines. Sobre todo cuando se producen acontecimientos de interés periodístico, es inevitable que aumenten las registraciones de nombres de dominio que contienen términos relacionados con estos acontecimientos.

La pandemia mundial de COVID-19 no es una excepción. Hay quienes registran sitios para recaudar fondos o asistir a las personas afectadas por esta situación, ya sea en forma directa o indirecta. También hay quienes crean dominios que usan la pandemia como señuelo para generar más tráfico y atraer víctimas, recurriendo a phishing, malware y estafas que perjudican a los usuarios finales.

Frente a esta realidad, diversas agrupaciones están generando y compartiendo "inteligencia sobre amenazas", es decir, información y datos sobre amenazas en materia de seguridad observadas o informadas en torno a estos dominios. Algunas agrupaciones, como la Liga de Inteligencia contra las Ciberamenazas por COVID-19 y la Coalición contra las Ciberamenazas por COVID-19, están implementando acciones para combatir a estos actores maliciosos.

La organización de la ICANN está contribuyendo en esta iniciativa de lucha contra el uso indebido de dominios en torno al COVID-19. En tal sentido, aportamos nuestro conocimiento y experiencia para poner información concreta a disposición de los actores capaces de detener estas campañas malintencionadas. Estamos clasificando listas generadas a partir de archivos de zona y las estamos complementando con datos de fuentes externas para detectar nombres de dominio posiblemente maliciosos entre la gran mayoría de nombres de dominio que no lo son. Sin embargo, debemos ser cautelosos para no sobrecargar a quienes ya reciben demasiada información. En pocas palabras, si bien nuestro objetivo es facilitar datos que permitan evaluar rápidamente el estado de un dominio, también es necesario que dicha evaluación sea altamente confiable. Sin estas dos características, la solución puede ser peor que el problema.

Estamos elaborando informes sobre dominios registrados recientemente que, según nuestro criterio, están usando la pandemia de COVID-19 para llevar adelante campañas de phishing o malware. Estos informes se comparten con los actores responsables (principalmente registros o registradores) e incluyen la evidencia necesaria para que la organización de la ICANN considere que estos dominios se están usando con fines maliciosos, junto con información de referencia para ayudar a los actores responsables a determinar el curso de acción correcto.

Descripción del proceso

Para generar estos informes, analizamos los archivos de zona de los dominios genéricos de alto nivel (gTLD) que se encuentran disponibles. Estos archivos nos permiten ver las registraciones delegadas recientemente (aunque podemos recibir datos de todas las fuentes de información sobre dominios o nombres de host durante el proceso de generación de informes). Concretamente, buscamos nuevos ingresos a los archivos de zona que contengan palabras como "COVID", "corona", "pandemic" (pandemia) o términos afines. Esta primera lista de nombres de dominio aún no es viable, ya que incluye tanto dominios con fines legítimos como malintencionados. Es necesario que continuemos acotando esta lista hasta estar plenamente satisfechos con la confiabilidad de los resultados.

El próximo paso es analizar una serie de fuentes de inteligencia sobre amenazas para detectar indicios de nombres de dominio utilizados en engaños mediante phishing o distribución de malware. Las primeras herramientas que utilizamos en esta etapa son Virus Total, AlienVault OTX, Phishtank y Google Safe Browsing. Sin embargo, nuestro proceso de generación de informes está diseñado para incorporar o eliminar fuentes de información. Los datos provenientes de estas fuentes pueden ser un indicio de que un dominio se está usando con fines maliciosos, aunque en la mayoría de los casos hallamos poca o ninguna evidencia. La falta de evidencia puede obedecer a los siguientes factores:

  • En muchos casos, se trata de dominios que están "estacionados", es decir, registrados para su posterior venta lucrativa o para generar ingresos mediante acciones publicitarias.
  • En otros casos, se trata de dominios nuevos que todavía no se usan con fines maliciosos o no tienen registro de tal actividad.

Por lo tanto, es posible que la reputación de un nombre de dominio cambie a lo largo del tiempo. Para contemplar esta situación, volvemos a evaluar los dominios periódicamente.

Cabe señalar que las fuentes que utilizamos brindan información sobre malware y phishing; por consiguiente, la actividad maliciosa que observamos corresponde mayormente a estas dos categorías. También registramos dominios que participan en el envío de spam u otras acciones no deseadas. Para que estos dominios se incluyan en nuestro análisis, también deben figurar en las listas de fuentes de phishing o malware. Es común que los dominios figuren en múltiples categorías, ya que los distintos métodos de recopilación de información que aplican los proveedores de inteligencia sobre amenazas detectan distintos aspectos de una misma campaña maliciosa. Además, la categorización no es un ciencia exacta y puede estar sujeta a distintas interpretaciones. Por lo tanto, cuando usamos el término "malicioso" en este contexto hacemos referencia a phishing o malware; no obstante, eso no impide que un dominio figure en una lista de spam o de otras conductas no deseadas.

Cuando detectamos evidencia confiable de actividades maliciosas, recopilamos más información sobre los dominios correspondientes según los requisitos para informar estas situaciones definidos en la Guía de los Registradores para Informar Instancias de Uso Indebido. Esta información comprende los datos del registrador (sobre todo, los datos de contacto para informar casos de uso indebido), los detalles de hosting, etc. El objeto de recopilar esta información es ayudar a quienes reciben nuestros informes a decidir si van a tomar medidas (tales como una suspensión) en contra del dominio correspondiente. El siguiente diagrama de flujo resume el proceso de elaboración de informes que les acabo de describir.

Reporting Potential Pandemic-Related Domains Flowchart

El resultado de este proceso se presenta en dos formatos diferentes:

  • Un archivo de valores separados por comas (CSV), con el nombre del dominio, el IP resuelto y los registros de servidores de nombres, junto con la calificación básica de cada fuente de inteligencia sobre amenazas y una calificación total.
  • Un archivo Markdown con más detalles acerca del dominio, como enlaces a evidencia externa, toda vez que se encuentren disponibles y sean pertinentes.

Estadísticas

Desde que lanzamos esta iniciativa a fines de marzo, vimos un promedio diario aproximado de 3.250 dominios nuevos que coinciden con los términos de nuestra búsqueda. Al momento de escribirse este blog, se habían registrado más de 82.000 nombres. Dentro de este conjunto de nombres, hallamos evidencias que vinculan aproximadamente 7.000 nombres con conductas maliciosas; además, estos nombres lograron resolver sus dominios, lo cual significa que no habían sido suspendidos. En un día determinado, la cantidad de dominios vinculados a inteligencia sobre amenazas aumenta simplemente porque hubo más oportunidades de observar el comportamiento asociado a los dominios. En tal sentido, la proporción de dominios más antiguos que originan informes supera a la de los dominios más nuevos. Por otra parte, se están empezando a detectar y suspender los dominios maliciosos.

Habrán notado que las cifras compartidas son menores a las que figuran en otros informes públicos. Esto se debe a dos motivos principales:

  • Comenzamos a partir de fuentes que contienen nombres de dominio detectados únicamente en archivos de zona. No incluimos listas de todos los host observados en fuentes pasivas del DNS o en un punto de partida similar.
  • Solo incluimos dominios con evidencia suficiente de actividad maliciosa que aun así continúan con su resolución.

Nuestro enfoque excluye los dominios estacionados que fueron adquiridos con fines especulativos. Si bien bloquear el acceso a estos dominios quizás no sea disruptivo para los usuarios finales, no podemos afirmar a ciencia cierta que estos dominios sean maliciosos.

Resumen

Es un hecho lamentable que siempre haya actores malintencionados y dispuestos a sacar provecho de toda situación, incluso de una pandemia. Frente al uso indebido de los nombres de dominio, nuestra respuesta es poner la evidencia de los dominios que consideramos maliciosos en manos de quienes tienen la facultad de tomar las medidas correspondientes. Además, consideramos que se deben fijar niveles muy altos para brindar esta evidencia y así aportar información verdaderamente útil. El proceso de elaboración de informes que implementamos fue diseñado cuidadosamente para evitar falsos positivos. Esperamos trabajar con nuestra comunidad y demás actores para mejorar nuestros procesos.

Comments

    Domain Name System
    Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."