Su oltre mille scelte di dominio di primo livello, i criminali informatici e gli attori delle minacce preferiscono un piccolo gruppo di 25, che rappresenta il 90% di tutti i siti dannosi.
Sei dei primi 10 di questi 25 domini di primo livello (TLD) sono gestiti dalle autorità dei paesi in via di sviluppo, che ospitano un numero sproporzionatamente elevato di siti rischiosi rispetto alle loro popolazioni.
Fonte: Unit42
Queste statistiche sono state rivelate in un’analisi approfondita dei ricercatori di Palo Alto Networks, che hanno approfondito i TLD comunemente usati dagli attori delle minacce e il motivo per cui vengono scelti.
Le categorie scelte per l’analisi sono malware, phishing, comando e controllo (C2) e grayware (adware, “malware scherzoso”, spyware).
I casi peggiori
Utilizzando i dati raccolti il 7 ottobre 2020, Palo Alto Networks ha analizzato i domini classificati dal proprio servizio di filtro URL avanzato e che soddisfacevano criteri specifici.
“In primo luogo, studiamo solo i domini classificati dal servizio Advanced URL Filtering e consideriamo solo i domini registrati (chiamati anche domini root). Inoltre, convalidiamo se i domini sono esistiti nell’ultimo anno controllando i file di zona e il DNS passivo ed emettendo query DNS attive. Non consideriamo i domini che classifichiamo come parcheggiati , contenuti insufficienti o sconosciuti per i nostri calcoli”, spiega la ricerca di Palo Alto Networks Unit42.
“Inoltre, quando calcoliamo i punteggi di reputazione, non consideriamo malevoli i domini sprofondati per misure preventive. Infine, consideriamo solo i TLD con almeno un centinaio di domini, poiché i TLD più piccoli probabilmente hanno politiche in atto che limitano le entità autorizzate a registrare i nomi di dominio. Questo post sul blog si basa sui dati raccolti il 7 ottobre 2021.”
Utilizzando questi dati, Palo Alto Networks ha creato la seguente tabella di riepilogo per fornire una panoramica dell’uso dannoso dei principali TLD per ciascuna categoria e della loro distribuzione cumulativa (CD). Più alto è il CD, più quel particolare TLD viene utilizzato per la categoria.
Fonte: Unit42
Il dominio di primo livello più popolare è .com, che ha un rapporto medio di domini dannosi. I truffatori tendono a usarlo perché aggiunge legittimità e generalmente migliora le loro percentuali di successo.
Quelli che stanno peggio nella categoria “distribuzione cumulativa” sono .xyz, .icu, .ru, .cn, .uk e tk. Ciò significa che la maggior parte delle cose cattive che circolano sul web in termini di volume proviene da questi domini.
I TLD che distribuiscono maggiormente malware sono .ga, .xyz, .cf, ,tk, .org e .ml.
Gli attori di phishing preferiscono utilizzare domini .net, con .pw, .top, .ga e .icu, seguiti da volumi notevoli. Tuttavia, i ricercatori hanno scoperto che il phishing è una delle categorie più equamente distribuite, con il 99% dei domini che si diffondono su 92 diversi TLD.
Grayware viene distribuito attraverso i domini .org, .info, .co, .ru, .work, .net e .club, indice dell’inganno alla base di questa categoria di software.
Infine, l’infrastruttura C2 di solito si basa su .top, .gq, .ga, .ml, .cf, .info, .cn e .tk.
Palo Alto ha compilato la seguente tabella in termini di tasso di domini dannosi rispetto alle registrazioni totali per un TLD.
Nella tabella seguente, il punteggio MAD è la “mediana della deviazione assoluta”, il che significa che un punteggio più alto rappresenta un numero insolitamente elevato di registrazioni di domini dannosi per quel TLD.
Fonte: Unit42
Perché tutto questo è importante?
Il fatto che i domini TLD per Tokelau, una piccola isola nel Pacifico, siano nella top ten di tutte le categorie dannose significa che l’autorità di registrazione competente probabilmente non segue rigide pratiche di revisione.
“Una delle storie più affascinanti nel mondo dei nomi di dominio è come .tk, il ccTLD di una piccola isola del Pacifico chiamata Tokelau, sia diventato uno dei TLD più popolosi al mondo. Le registrazioni di domini hanno contribuito a un punto un sesto del reddito di Tokelau “, spiega il rapporto di Palo Alto Networks .
“Il loro TLD è diventato popolare fornendo registrazioni di domini gratuite, dove la fonte di guadagno per l’operatore TLD è attraverso la pubblicità piuttosto che le tasse di registrazione del dominio. Sfortunatamente, la loro politica di registrazione del dominio invita anche ad abusi, spam e una grande quantità di contenuti sensibili, poiché noi può osservare nella tabella 1.”
Lo stesso vale per i domini .pw e .ws, controllati dalla Repubblica di Palau e dalle Samoa occidentali.
Questi paesi offrono registrazioni di domini a basso costo o addirittura gratuite per generare entrate dagli annunci pubblicati sui siti.
Questo modello pubblicitario genera entrate significative dalle registrazioni di domini, ma apre anche la porta ad abusi su vasta scala.
Questo, ovviamente, non significa che grandi domini di primo livello come .net, .org e .xyz possano permettersi di rilassarsi contro le registrazioni abusive. Al contrario, le statistiche mostrano che i domini di primo livello più diffusi sono più responsabili dell’eliminazione delle registrazioni dannose.
In molti casi, i domini legittimi su questi TLD più grandi sono compromessi dagli attori delle minacce, quindi non sono stati registrati con intenti dannosi.
Un altro motivo per cui tali rapporti sono utili è che possono aiutare le soluzioni di sicurezza Internet a rafforzare i loro algoritmi di rilevamento di domini dannosi.
Questi tassi possono essere utilizzati come fattori che vengono valutati insieme ad altri elementi per generare un punteggio di rischio totale quando si determina se il software di sicurezza oi gateway devono bloccare un URL.