Diese Website nutzt Cookies

Unsere Website verwendet First- & Third-Party-Cookies, um Ihr Nutzererlebnis zu optimieren, Werbung zu personalisieren sowie die Website-Performance zu analysieren. Mit einem Klick auf "Zustimmen" akzeptieren Sie die Verarbeitung und Weitergabe Ihrer Daten an Drittanbieter. Sie können die Verwendung von Third-Party-Cookies ablehnen. Eine Übersicht über alle verwendeten Cookies finden Sie in unserer Datenschutzerklärung. Dort ist beschrieben, wie Sie Third-Party-Cookies jederzeit (auch nachträglich) ablehnen können.

Blog

Im InterNetX Blog erfahren Sie Neuigkeiten, Hintergründe und Innovationen
aus den Bereichen Domains, Server und SSL.

EURid nutzt Künstliche Intelligenz gegen Domain-Missbrauch

Die Registrierungsstelle für .eu Domains EURid hat ein Frühwarnsystem für Domain-Registrierungen entwickelt, das Muster in der Registrierung von Domains prüft, um eine Prognose darüber abzugeben, ob eine Domain später möglicherweise missbräuchlich verwendet wird. Im nachfolgenden Artikel wird erläutert, warum es ein solches System braucht und wie es konkret funktioniert.


Das Domain Name System (kurz: DNS) macht die heutige Dimension des Internets überhaupt erst möglich: Die gesamte Kommunikation im Internet erfordert die Auflösung von Domains in IP-Adressen. Nicht verwunderlich, dass Cyberkriminelle an dieser Stelle ansetzen, um ihre Machenschaften auszuüben.
 


Wie können Domains vor Missbrauch durch Cyberkriminelle geschützt werden?

Das DNS als eine der wesentlichen Komponenten des Internets ordnet die Domain-Namen den IP-Adressen hinter den Online-Diensten zu. Dadurch werden jedoch nicht nur legale Aktionen ermöglicht: Das DNS bietet auch Raum für böswillige Aktivitäten. Cyberkriminelle Aktionen, wie das Auflösen von Spam-E-Mails, Phishing-Angriffen und die Verbreitung von Malware, bedingen Domains, um funktionieren zu können. Da Domains eine so entscheidende Rolle bei cyberkriminellen Handlungen spielen, ist eine effektive Prävention umso wichtiger.

Die Registrierungsstelle EURid hat zusammen mit der Katholieke Universität in Leuven das Frühwarnsystem entwickelt. Bei den Untersuchungen dazu kam zutage, dass auch in Darknet-Foren Domains gehandelt werden.  Unter anderem wurde im Forum AlphaBay der Dienst “Domain and Email Registration as a Service” angeboten. Die Menge an böswillig registrierten Domains, die gefunden wurde sowie die Tatsache, dass der Registrierungsprozess von den Kriminellen automatisiert und monetarisiert wird, machte deutlich, dass ein effektives System nötig ist, um gegen Domain-Missbrauch vorzugehen.

Die Schutzmaßnahme bisher: Schwarze Listen

Eine bislang gebräuchliche Gegenmaßnahme im Kampf gegen böswillig registrierte Domains sind schwarze Listen: Sogenannte Reputation Provider kuratieren Domainnamen, die mit internetbasierten Angriffen in Verbindung gebracht werden. Die ein- oder ausgehende Kommunikation mit den jeweiligen Domains wird blockiert. Diese Listen sind zwar agiler geworden und die Domains werden, sobald ein Angriffsverhalten diagnostiziert wird,  so schnell wie möglich blockiert. Doch eine Handlung ist erst dann möglich, wenn bereits ein Schaden entstanden ist.

Als Reaktion auf die schwarzen Listen haben Cyberkriminelle Hit-and-Run-Strategien angewendet, d. h. sie haben massenweise löschbare Domains registriert, um ihre kriminellen Handlungen aufrechterhalten zu können. Die missbräuchlich registrierten Domains sind also  immer nur eine kurze Zeit aktiv, in 60 % der Fälle sogar nur für einen Tag. Die Wirkung von schwarzen Listen ist dadurch natürlich begrenzt.
Aus dieser Situation heraus ergab sich die Notwendigkeit, böswillige Domain-Registrierungen aufzudecken, bevor kriminelle Handlungen überhaupt möglich werden. Genau dort setzt das von EURid entwickelte System APEWS an.

APEWS: Das KI-basierte Frühwarnsystem von EURid

Das gemeinsam mit Forschern der KU Leuven entwickelte Abuse Prediction and Early Warning System (kurz: APEWS) wurde im Dezember 2019 von der Registry EURid gestartet. Mit APEWS soll die missbräuchliche Verwendung von Domain-Namen bereits verhindert werden, bevor ein Schaden entstehen kann. Das Missbrauchspräventions- und Frühwarnsystem erkennt potenziell schädliche Domain-Registrierungen, noch bevor die jeweiligen Domains öffentlich zugänglich gemacht werden. Dies unterscheidet das System grundlegend von schwarzen Listen, die erst dann Schutz bieten, wenn bereits ein Schaden entstanden ist.

Über elf Monate hinweg wurden Domain-Registrierungen ausgewertet, um Muster zu erkennen, die auf missbräuchliche Registrierungen schließen lassen. Ergebnis der Untersuchungen sind 22 Erkennungsmerkmale (hier zum Download), die zum Zeitpunkt der Registrierung bereits verfügbar sind. Sie werden von einem CPM-Klassifikator (Convex Polytope Machine) abgeleitet und von dem entwickelten System automatisch erkannt.

Erfolgreich: APEWS im Kampf gegen Fake-Domains

Die während der Forschung untersuchten missbräuchlichen registrierten Domains wiesen eine vergleichsweise kurze Lebenszeit auf. Über 80 % der Domains waren allerdings 20 langfristig angelegten Kampagnen unterschiedlicher Dauer und Intensität zuzuordnen. Kampagnen bezeichnen in diesem Fall Registrierungen einer ganzen Serie von Domains, die von den Cyberkriminellen automatisiert durchgeführt wird (Details zu den Forschungsergebnissen kannst du hier nachlesen).

Der operative Einsatz eines solchen Erkennungssystems unterliegt in einer realen und lebendigen Umgebung schnellen und drastischen Änderungen, da böswillige Akteure ihre Strategien aktiv anpassen. Deshalb muss auch APEWS stets weiterentwickelt werden.

Ein Funfact, der sich aus der Untersuchung ergeben hat: Auch Cyberkriminelle haben feste Arbeitszeiten und machen Urlaub. Außerdem wurde auch festgestellt, dass sie sich beim Auswählen und Registrieren der Domains vertippen.

Wie geht EURid gegen potenziellen Domain-Missbrauch vor?

Wenn eine registrierte Domain von APEWS als missbräuchlich eingestuft wird, kommt es zu einer Verzögerung der Domain-Delegierung in die .eu Zone. Im WHOIS wird der Status “Server-Hold” angezeigt. Obwohl die Domain registriert ist, funktionieren Dienstleistungen, die mit der Domain verbunden sind, also z. B. die Auflösung einer Website oder E-Mail-Dienste, solange nicht, bis das manuelle Überprüfungsverfahren abgeschlossen ist.

Die Registrierungsstelle EURid sucht den Domain-Inhaber der von APEWS erkannten Domain auf, um die Registrierungsdaten bestätigen zu lassen und einen Nachweis seiner Identität vorzulegen. Cyberkriminelle verwenden in der Regel gefälschte Registrierungsangaben und wechseln Identitäten, Registrierungsstellen und Wiederverkäufer, um nicht entdeckt zu werden. Kann der Registrant seine Identität nachweisen, wird die Domain für die .eu Zone delegiert. Erweist sich die Domain als unter kriminellen Absichten registriert, wird sie ausgesetzt und zurückgezogen. Nach einem angemessenen Zeitraum wird sie wieder zur Registrierung freigegeben. Die Kombination von den bisherigen Klassifikationen, die mit Hilfe maschinellen Lernens erstellt wurden und mit die Vorhersagen, die auf dem Clustering zur Erstellung von Ähnlichkeiten der Domains basieren, soll die Forschung so voranbringen.

APEWS wurde bereits erfolgreich eingesetzt und prämiert

Seit Beginn des Einsatzes bei der .eu Registry konnten bereits 58.966 missbräuchliche Registrierungen aufgedeckt werden.
Unterstützt durch das automatische Identifizierungsverfahren kann die mit der Entwicklung von APEWS einhergehenden Forschung dazu genutzt werden, lang andauernde Kampagnen aufzuspüren und die schwarzen Listen mit böswillig genutzten Domains, die bislang noch nicht für kriminelle Aktivitäten genutzt wurden, zu erweitern.

Auf der Jahreskonferenz für Computersicherheitsanwendungen ACSAC (Annual Computer Security Applications Conference) wurde die Forschung dafür ausgezeichnet, bereits nach kurzem Einsatz einen nachweisbaren Sicherheitsmehrwert zu bieten. Außerdem wurde APEWS mit einem ECO Award ausgezeichnet.

InterNetX ist stolzer Partner der EURid. Wenn du mehr über die Partnerschaft erfahren möchtest, klick dich hier weiter.

InterNetX und EURid


InterNetXPress Newsletter

Werden Sie jetzt Teil von tausenden InterNetXPress-Lesern!
2x im Monat Jederzeit kündbar
Ich habe die Datenschutzerklärung zur Kenntnis genommen. Durch Anklicken „Abonnieren” willige ich ein, dass meine E-Mail-Adresse elektr. erhoben und gespeichert wird.

Hinweis: Sie können Ihre Einwilligung jederzeit ohne Angabe von Gründen für die Zukunft
per E-Mail datenschutz@internetx.com widerrufen.

Managed Cloud Services ermöglichen es Unternehmen, die Leistungsfähigkeit von Cloud-Diensten nutzen zu können, ohne selbst über Cloud-Experten...

Nahezu jedes Unternehmen ist mittlerweile auch in den sozialen Medien vertreten. Doch das heißt nicht, dass die klassische Unternehmenswebsite...

Mit der zunehmenden Digitalisierung vermehren sich auch die Sicherheitsrisiken in der Onlinewelt. Um die Gefahren von Hacking-Angriffen zu minimieren,...

Nicht nur in Deutschland sind .de Domains sehr beliebt, auch im Ausland wird die ccTLD häufig registriert. Dies geht aus der aktuellen...