COMAR: Compromised versus maliciously registered domains

par Sourena Maroofi

Projet de thèse en Informatique

Sous la direction de Andrzej Duda.

Thèses en préparation à Grenoble Alpes , dans le cadre de École doctorale mathématiques, sciences et technologies de l'information, informatique (Grenoble) , en partenariat avec Laboratoire d'Informatique de Grenoble (laboratoire) et de DRAKKAR - Réseaux et Multimédia (ancien LSR) (equipe de recherche) depuis le 01-01-2019 .


  • Résumé

    Les noms de domaine sont des raccourcis faciles à utiliser pour les adresses IP qui nous aident à naviguer parmi les nombreux services en ligne que nous utilisons au quotidien. Bien que la grande majorité des enregistrements et des utilisations de noms de domaine soient sans danger, certains cybercriminels les utilisent malheureusement mal, par exemple pour lancer des attaques de type phishing à grande échelle, des téléchargements au volant et des campagnes de spam. Des organisations de sécurité telles que le groupe de travail anti-hameçonnage (APWG) et Stop Badware collectent des informations sur ces noms de domaine mal utilisés et les mettent à la disposition de leurs clients (par exemple, fournisseurs d'hébergement et registres de noms de domaine) sous la forme de listes noires d'URL. Les communautés opérationnelle et de recherche distinguent deux types d'abus de noms de domaine: les domaines légitimes compromis par des criminels et les nouveaux noms de domaine spécifiquement enregistrés à des fins malveillantes [1] [2]. Studentflats.gr est un exemple de nom de domaine compromis. Il s'agit d'un site légitime qui exécutait une installation Wordpress et que les cybercriminels ont piraté pour héberger un site de phishing lié aux activités bancaires. Ceci est visible dans l'URL de la liste noire (http://studentflats.gr/wp-content/uploads/2016/.co.nz/login/personal-banking/login/auth_security.php), qui contient un script bancaire installé de manière illégale ( /uploads/…/auth_security.php) sous le répertoire Wordpress (/ wp-content). Un exemple de nom de domaine malicieusement enregistré est continue-details.com, utilisé pour un site de phishing Paypal. Ceci est visible dans l'URL de la liste noire (http://paypal.com.login.continue-details.com/), qui ne contient pas explicitement un programme malveillant tel qu'un script PHP, mais fait plutôt référence à un site spécifiquement configuré pour le phishing utilisant un nom de domaine de 5ème niveau (continue-details.com étant les premier et deuxième niveaux et paypal.com.login. ajoutant trois niveaux supplémentaires). La distinction entre ces deux groupes est essentielle car ils nécessitent des actions d'atténuation différentes de la part d'intermédiaires différents. Par exemple, les fournisseurs d'hébergement et les webmasters se concentrent généralement sur le nettoyage du contenu des sites Web compromis [3], tandis que les registres de domaines (SIDN et Afnic, par exemple) et les bureaux d'enregistrement ont tendance à se concentrer sur le traitement des enregistrements de noms de domaine malveillants.

  • Titre traduit

    COMAR: Compromised versus maliciously registered domains


  • Résumé

    Domain names are easy to use shorthands for IP addresses that help us navigate the many online services that we use in our daily lives. While the vast majority of domain name registration and use is benign, there are cybercriminals who unfortunately misuse them, for instance to launch large-scale phishing attacks, drive-by-downloads, and spam campaigns. Security organizations such as the Anti-Phishing Working Group (APWG) and Stop Badware collect information about these misused domain names and make it available to their customers (e.g., hosting providers and domain name registries) in the form of URL blacklists. Both the operational and research communities distinguish two types of domain name abuse: legitimate domains that criminals have compromised and new domain names that have been specifically registered for malicious purposes [1][2]. An example of a compromised domain name is studentflats.gr, which is a legitimate site that ran a Wordpress installation and that cybercriminals hacked to host a banking-related phishing site. This is visible in the blacklisted URL (http://studentflats.gr/wp-content/uploads/2016/.co.nz/login/personal-banking/login/auth_security.php), which has an illegally installed banking script (/uploads/…/auth_security.php) underneath the Wordpress directory (/wp-content). An example of a maliciously registered domain name is continue-details.com, which was used for a Paypal phishing site. This is visible in the blacklisted URL (http://paypal.com.login.continue-details.com/), which does not explicitly contain a malicious program such as a PHP script, but instead refers to a site specifically set up for the phish using a 5th level domain name (continue-details.com being the first and second levels and paypal.com.login. adding three more levels). The distinction between these two groups is critical because they require different mitigation actions by different intermediaries. For example, hosting providers together with webmasters typically concentrate on cleaning up the content of compromised websites [3], whereas domain registries (e.g., SIDN and Afnic) and registrars tend to focus on handling malicious domain name registrations.