Por Federico Dios, pre-sales senior manager en Akamai Technologies 

Los investigadores de Akamai han marcado casi 79 millones de dominios como maliciosos en la primera mitad de 2022, según un conjunto de datos de dominio observado recientemente. Esto equivale aproximadamente a 13 millones de dominios maliciosos por mes y representa el 20,1% de todos los NOD que se resolvieron con éxito. 

Comparamos un enfoque de detección basado en NOD con otro agregador de inteligencia de amenazas, conocido en términos de cobertura y tiempo promedio, para detectar y encontramos un excelente valor complementario. 

La detección de amenazas basada en NOD nos permite observar la "long tail” de las consultas de DNS y marcar nuevas amenazas maliciosas muy temprano en el ciclo de vida de una amenaza. 

Las instancias de Akamai CacheServe actualmente manejan más de 80 millones de consultas de DNS por segundo, o aproximadamente 7 billones de solicitudes por día, de todo el mundo. Un subconjunto anónimo de estos datos llega a nuestro equipo, donde nuestros investigadores trabajan arduamente para hacer que la vida online sea más segura. 

Producimos inteligencia de DNS e IP para ISP y empresas, de modo que los usuarios finales puedan navegar por la web de manera segura y protegida. 

Sin duda, los destinos de los enlaces web no siempre son seguros. Si identificamos un destino como malicioso, nuestros sistemas pueden intervenir para evitar organizaciones y usuarios sean víctimas de ransomware, malware, phishing y muchas otras amenazas. 

Uno de nuestros activos más poderosos es el conjunto de datos de dominio recién observado (NOD) que usamos para marcar nuevos nombres de dominio maliciosos con un tiempo medio de detección (MTTD) muy corto. 

Manejamos el concepto de NOD para permitir a nuestro equipo proteger a los clientes y usuarios finales.  

Dominios observados recientemente  

Algunos de nuestros clientes de CacheServe (por lo general, los ISP) nos proporcionan campos de consulta de DNS anónimos, como el FQDN solicitado y la dirección IP resuelta. A partir de estos datos, extraemos los nombres de dominio y hacemos un seguimiento de cuándo se observó por última vez cada nombre de dominio. Siempre que se consulta un nombre de dominio por primera vez en los últimos 60 días, lo consideramos un NOD: un dominio observado recientemente. 

El conjunto de datos NOD nos permite acercarnos a lo que a menudo se denomina "cola larga", en este caso, la cola larga de las consultas de DNS. Este conjunto de datos es donde encontrará nombres de dominio recién registrados, errores tipográficos y dominios que rara vez se consultan a escala global. 

Otras organizaciones que sabemos que están monitoreando los NOD han declarado que usan un periodo de tiempo de 30 minutos a 72 horas. Esto está muy lejos de la ventana de 60 días que estamos usando en Akamai         . Trabajamos con una ventana tan larga para asegurarnos de que solo estamos viendo los nombres de dominio más recientes y menos consultados. Este subconjunto es donde nuestros investigadores han encontrado una gran cantidad de nuevas y futuras ciberamenazas basadas en DNS. 

Además de esto, también realizamos un seguimiento de las consultas de DNS que nunca se resolvieron con éxito (NXDOMAIN). Hacemos esto porque la mayoría de los dominios a los que el malware intenta conectarse ni siquiera están registrados. Esto conduce a un aumento del tamaño de nuestro conjunto de datos de aproximadamente un orden de magnitud, pero permite que nuestros investigadores de seguridad observen una imagen completa en lugar de una muestra sesgada. 

Esto es, en pocas palabras, lo que es nuestro conjunto de datos NOD. Y nos proporciona una gran cantidad de opciones para el análisis. 

En un día normal, nuestro equipo observa un total de aproximadamente 12 millones de NOD nuevos, de los cuales un poco más de 2 millones se resuelven con éxito. Durante los primeros 6 meses de 2022, casi 79 millones de nombres de dominio se marcaron como maliciosos gracias a la detección de amenazas basada en NOD. Esto hace que el conjunto de datos NOD sea un componente clave de nuestros mecanismos de detección. 

Los actores maliciosos a menudo registran miles de nombres de dominio de forma masiva. De esta manera, si uno o más de sus dominios están marcados y bloqueados (por ejemplo, por nuestro equipo), simplemente pueden cambiar a uno de los otros dominios que poseen. Por lo general, estos nombres de dominio se crean mediante programación utilizando un algoritmo de generación de dominio (DGA). Este proceso automatizado es parte de lo que hace que estos NOD sean peligrosos. Es una forma persistente de atacar una organización.  

Las amenazas comunes que utilizan la técnica anterior incluyen malware, ataques de ransomware, criptomineros, typosquatting (a menudo utilizado para phishing), botnets y APT. Cuanto mejor y más rápido se detectan este tipo de patrones y nombres generados por computadora, más amenazas se pueden neutralizar antes de que causen daños.   

Entre otros métodos, destacan: 

Detección de phishing 

Para cada nuevo NOD que vemos, verificamos la similitud con una lista de marcas conocidas y sitios web populares. Si vemos un nuevo NOD con una similitud muy alta, puede ser motivo suficiente para marcar el NOD como malicioso. 

En casos de similitud ligeramente menor (pero aún alta), aportamos otros datos para ayudar a tomar la decisión. Por ejemplo: Si después de resolver el nombre de dominio apunta a un ASN con una puntuación de riesgo alta , la probabilidad de que se trate de un ataque de phishing aumenta. 

Detección rápida de amenazas 

La gran ventaja de un NOD es su MTTD muy corto.   

Los datos de NOD nos permiten clasificar un nuevo dominio muy temprano en el ciclo de vida de la amenaza. Todo lo que necesitamos para activar nuestros mecanismos de detección es una sola consulta de DNS a un dominio malicioso recién creado. 

Todo esto le da a nuestra detección de amenazas basada en NOD una ventaja en velocidad sobre muchos otros mecanismos de detección de amenazas. Le permite a nuestro equipo mitigar rápidamente las nuevas amenazas basadas en DNS. 

El evento que desencadena la detección de amenazas se ubica en una etapa muy temprana del ciclo de vida de la amenaza y los sistemas de detección en sí son muy rápidos porque están completamente automatizados.  

La seguridad tiene que ser multifacética, y cuanto más sepamos, más seguro podremos hacer el mundo. La detección de amenazas basada en NOD es rápida y muy complementaria a otras fuentes de inteligencia de amenazas.