Akamai schätzt, dass allein in der ersten Hälfte diesen Jahres fast 79 Millionen neu beobachtete Domains als bösartig eingestuft wurden.
Nach Angaben des IT-Dienstleisters Akamai stellen ihre Mitarbeiter etwa 13 Millionen bösartige Domains pro Monat fest, 2021 waren es fast 79 Millionen Stück. 13 Millionen neue Domains entspricht einem Anteil von 20 Prozent.
Mit bösartig ist die Verbreitung von Erpresser-Software, jegliche Schadsoftware und Domains für Phishing und unter anderem für Fake-Shops gemeint. Um derartige Gefahren zu vermeiden ist es wichtig, neu beobachtete Domains (Newly Observed Domains: kurz NODs) zeitnah zu überprüfen.
Akamai untersucht die Domains automatisch
Die neu registrierten Domains werden von Akamai anhand von mehr als 190 spezifischen Erkennungsregeln automatisch überprüft. Manuell wäre dies schon aufgrund des zeitlichen Aufwands nicht möglich. Unter anderem prüft man, ob es sich dabei um sogenannte Domain-Generierungsalgorithmen (DGAs) handelt, die die Domain kreiert haben.
Im ersten Halbjahr hat man nach eigenen Angaben nur 0,00042 Prozent der Aktivitäten auf den Webseiten falsch erkannt. Als „neu beobachtet“ gilt dabei jede Domain, die zum ersten Mal innerhalb von 60 Tagen abgefragt wird.
Wenn Cyberkriminelle eine Reihe von zufällig aussehenden Domänennamen benötigen, von denen aus sie DDoS-Angriffe starten, Botnet-Befehls- und Kontrollserver betreiben oder bösartige Seiten hosten können, dann kommt laut Akamai häufig ein Domaingenerierungsalgorithmus (DGA) zum Einsatz. Man möchte nicht, dass diese Domains leicht erraten oder von Netzwerksicherheitsfiltern blockiert werden können. Doch die automatisch erstellten Domains von einem DGA kann man glücklicherweise recht gut als solche erkennen. Natürlich erstellen Hacker auch neue Domains manuell und nutzen keinen DGA dafür.
Viele neue Domains lassen Kriminelle von Algorithmen erstellen
Neben Akamai untersuchen natürlich noch andere Unternehmen den Zweck von frisch angemeldeten Domains. Cisco bietet ein System zur Erkennung von „neu gesehenen Domains“ an, das DNS-Protokolle überprüft und potenziell bösartige Websites kennzeichnet, ebenso wie die IT-Dienstleister Farsight Security und Palo Alto Networks.
Es ist unklar, wie sich diese Dienste mit denen von Akamai vergleichen lassen, aber ihre Ziele scheinen ähnlich zu sein und deuten darauf hin, dass NODs ein bekanntes Sicherheitsproblem sind, das mehrere Anbieter zu lösen versuchen.
Weitere Informationen sind auf dem englischsprachigen Blog von Akamai verfügbar.
