Zo herken je een kwaadaardig domein

Dat blijkt uit onderzoek van beveiliger DomainTools dat dit najaar is uitgevoerd. Er zijn volgens dit onderzoek een paar indicatoren die heel sterk wijzen op mogelijke kwaadaardigheid van domeinen.

In het onderzoek keek DomainTools naar de verbanden tussen domeinen die de bron vormen van malware, phishing en spam plus nog zes andere karakteristieken. Deze laatstgenoemden zijn: het top-leveldomein, het IP autonomous system number (AS), de name server ASN, de geografische locatie van het IP-adres van het domein, de registrar en de autoriteit van het SSL-certificaat.

Veel verkeer per domein?

Verdacht zijn bijvoorbeeld top-leveldomeinen, registrars en autonomous system numbers die maar een relatief klein aantal domeinen onder zich hebben terwijl daar wel een hoge signaalsterkte vandaan komt. Dat wijst op mogelijk zeer veel verkeer per domein, wat op kwaadaardige activiteiten kan duiden.

Bij domeinen die bijvoorbeeld domeinnaamservers gebruiken die onderhouden worden door bepaalde beruchte hosters, is de kans veel groter dan gemiddeld dat ze riskant verkeer faciliteren.

De afkomst van het SSL-certificaat blijkt echter een slechte indicator te zijn. Domeinen die zelf gesigneerde SSL-certificaten gebruiken of de gratis exemplaren van Let’s Encrypt bijvoorbeeld zijn niet vaker kwaadaardig dan gemiddeld.