EURid nutzt Künstliche Intelligenz gegen Domain-Missbrauch
Das Domain Name System (kurz: DNS) macht die heutige Dimension des Internets überhaupt erst möglich: Die gesamte Kommunikation im Internet erfordert die Auflösung von Domains in IP-Adressen. Nicht verwunderlich, dass Cyberkriminelle an dieser Stelle ansetzen, um ihre Machenschaften auszuüben.
Wie können Domains vor Missbrauch durch Cyberkriminelle geschützt werden?
Das DNS als eine der wesentlichen Komponenten des Internets ordnet die Domain-Namen den IP-Adressen hinter den Online-Diensten zu.
Dadurch werden jedoch nicht nur legale Aktionen ermöglicht: Das DNS bietet auch Raum für böswillige Aktivitäten. Cyberkriminelle Aktionen, wie das Auflösen von Spam-E-Mails, Phishing-Angriffen und die Verbreitung von Malware, bedingen Domains, um funktionieren zu können. Da Domains eine so entscheidende Rolle bei cyberkriminellen Handlungen spielen, ist eine effektive Prävention umso wichtiger.
Die Registrierungsstelle EURid hat zusammen mit der Katholieke Universität in Leuven das Frühwarnsystem entwickelt. Bei den Untersuchungen dazu kam zutage, dass auch in Darknet-Foren Domains gehandelt werden. Unter anderem wurde im Forum AlphaBay der Dienst “Domain and Email Registration as a Service” angeboten. Die Menge an böswillig registrierten Domains, die gefunden wurde sowie die Tatsache, dass der Registrierungsprozess von den Kriminellen automatisiert und monetarisiert wird, machte deutlich, dass ein effektives System nötig ist, um gegen Domain-Missbrauch vorzugehen.
Die Schutzmaßnahme bisher: Schwarze Listen
Eine bislang gebräuchliche Gegenmaßnahme im Kampf gegen böswillig registrierte Domains sind schwarze Listen: Sogenannte Reputation Provider kuratieren Domainnamen, die mit internetbasierten Angriffen in Verbindung gebracht werden. Die ein- oder ausgehende Kommunikation mit den jeweiligen Domains wird blockiert. Diese Listen sind zwar agiler geworden und die Domains werden, sobald ein Angriffsverhalten diagnostiziert wird, so schnell wie möglich blockiert. Doch eine Handlung ist erst dann möglich, wenn bereits ein Schaden entstanden ist.
Als Reaktion auf die schwarzen Listen haben Cyberkriminelle Hit-and-Run-Strategien angewendet, d. h. sie haben massenweise löschbare Domains registriert, um ihre kriminellen Handlungen aufrechterhalten zu können. Die missbräuchlich registrierten Domains sind also immer nur eine kurze Zeit aktiv, in 60 % der Fälle sogar nur für einen Tag. Die Wirkung von schwarzen Listen ist dadurch natürlich begrenzt.
Aus dieser Situation heraus ergab sich die Notwendigkeit, böswillige Domain-Registrierungen aufzudecken, bevor kriminelle Handlungen überhaupt möglich werden. Genau dort setzt das von EURid entwickelte System APEWS an.
APEWS: Das KI-basierte Frühwarnsystem von EURid
Das gemeinsam mit Forschern der KU Leuven entwickelte Abuse Prediction and Early Warning System (kurz: APEWS) wurde im Dezember 2019 von der Registry EURid gestartet. Mit APEWS soll die missbräuchliche Verwendung von Domain-Namen bereits verhindert werden, bevor ein Schaden entstehen kann. Das Missbrauchspräventions- und Frühwarnsystem erkennt potenziell schädliche Domain-Registrierungen, noch bevor die jeweiligen Domains öffentlich zugänglich gemacht werden. Dies unterscheidet das System grundlegend von schwarzen Listen, die erst dann Schutz bieten, wenn bereits ein Schaden entstanden ist.
Über elf Monate hinweg wurden Domain-Registrierungen ausgewertet, um Muster zu erkennen, die auf missbräuchliche Registrierungen schließen lassen. Ergebnis der Untersuchungen sind 22 Erkennungsmerkmale (hier zum Download), die zum Zeitpunkt der Registrierung bereits verfügbar sind. Sie werden von einem CPM-Klassifikator (Convex Polytope Machine) abgeleitet und von dem entwickelten System automatisch erkannt. Das
Erfolgreich: APEWS im Kampf gegen Fake-Domains
Die während der Forschung untersuchten missbräuchlichen registrierten Domains wiesen eine vergleichsweise kurze Lebenszeit auf. Über 80 % der Domains waren allerdings 20 langfristig angelegten Kampagnen unterschiedlicher Dauer und Intensität zuzuordnen. Kampagnen bezeichnen in diesem Fall Registrierungen einer ganzen Serie von Domains, die von den Cyberkriminellen automatisiert durchgeführt wird (Details zu den Forschungsergebnissen kannst du hier nachlesen).
Der operative Einsatz eines solchen Erkennungssystems unterliegt in einer realen und lebendigen Umgebung schnellen und drastischen Änderungen, da böswillige Akteure ihre Strategien aktiv anpassen. Deshalb muss auch APEWS stets weiterentwickelt werden.
Ein Funfact, der sich aus der Untersuchung ergeben hat: Auch Cyberkriminelle haben feste Arbeitszeiten und machen Urlaub. Außerdem wurde auch festgestellt, dass sie sich beim Auswählen und Registrieren der Domains vertippen.
Wie geht EURid gegen potenziellen Domain-Missbrauch vor?
Wenn eine registrierte Domain von APEWS als missbräuchlich eingestuft wird, kommt es zu einer Verzögerung der Domain-Delegierung in die .eu Zone. Im WHOIS wird der Status “Server-Hold” angezeigt. Obwohl die Domain registriert ist, funktionieren Dienstleistungen, die mit der Domain verbunden sind, also z. B. die Auflösung einer Website oder E-Mail-Dienste, solange nicht, bis das manuelle Überprüfungsverfahren abgeschlossen ist.
Die Registrierungsstelle EURid sucht den Domain-Inhaber der von APEWS erkannten Domain auf, um die Registrierungsdaten bestätigen zu lassen und einen Nachweis seiner Identität vorzulegen. Cyberkriminelle verwenden in der Regel gefälschte Registrierungsangaben und wechseln Identitäten, Registrierungsstellen und Wiederverkäufer, um nicht entdeckt zu werden. Kann der Registrant seine Identität nachweisen, wird die Domain für die .eu Zone delegiert. Erweist sich die Domain als unter kriminellen Absichten registriert, wird sie ausgesetzt und zurückgezogen. Nach einem angemessenen Zeitraum wird sie wieder zur Registrierung freigegeben. Eine Kombination aus den bisherigen Klassifikationen, mit Hilfe maschinellen Lernens erstellt wurden und die Vorhersagen, die aus dem Clustering zur Erstellung von Ähnlichkeiten der Domains basieren soll die Forschung so voranbringen.
APEWS wurde bereits erfolgreich eingesetzt und prämiert
Seit Beginn des Einsatzes bei der .eu Registry konnten bereits 58.966 missbräuchliche Registrierungen aufgedeckt werden.
Unterstützt durch das automatische Identifizierungsverfahren kann die mit der Entwicklung von APEWS einhergehenden Forschung dazu genutzt werden, lang andauernde Kampagnen aufzuspüren und die schwarzen Listen mit böswillig genutzten Domains, die bislang noch nicht für kriminelle Aktivitäten genutzt wurden, zu erweitern.
Auf der Jahreskonferenz für Computersicherheitsanwendungen ACSAC (Annual Computer Security Applications Conference) wurde die Forschung dafür ausgezeichnet, bereits nach kurzem Einsatz einen nachweisbaren Sicherheitsmehrwert zu bieten. Außerdem wurde APEWS mit einem ECO Award ausgezeichnet.
InterNetX ist stolzer Partner der EURid. Wenn du mehr über die Partnerschaft erfahren möchtest, klick dich hier weiter.