Filtragem de tráfego DNS para detecção de fraudes relacionadas a temas de alta visibilidade nacional

Abstract

O Sistema de Nomes de Domínio (DNS) é de grande importância para o funcionamento da rede mundial de computadores. Entretanto, este sistema é, muitas vezes, abusado por agentes maliciosos. Dado que estes agentes almejam fazer de suas fraudes o mais eficientes e furtivas possível, pode-se presumir que farão uso de domínios relacionados a tópicos atualmente relevantes para enganar suas vítimas de forma mais eficaz. Este documento, portanto, propõe o desenvolvimento de um sistema para identificar domínios pertinentes a tópicos atualmente relevantes para que estes possam ser apropriadamente etiquetados conforme sua relevância e os dados resultantes utilizados no processo de classificação de domínios como maliciosos ou benignos. Para tanto, são utilizados dados obtidos a partir da Wikpedia e seus serviços de métricas, em conjunto com dados de registros DNS disponibilizados por blocklists. Por fim, o sistema desenvolvido foi utilizado para identificar os tópicos relevantes ao longo do período de 6 meses e gerou palavras-chave relacionadas a estes, permitindo, dentre outros possíveis usos, a busca de nomes de domínio maliciosos que as contêm e verificou-se, assim, o potencial de uma real correlação entre os tópicos de alta visibilidade, tanto nacional quanto internacional, e o aumento de registro de domínios maliciosos pertinentes a estes, em especial para tópicos relacionados a tecnologia.

The Domain Name System (DNS) is of great importance for the functioning of the world-wide web. However, this system is often abused by malicious actors. Given that said actors aim to make their frauds as efficient and stealth as possible, it can be presumed they will make use of domains related to currently relevant topics in order to more effectively trick their victims. This document, thus, proposes the development of a system for identifying domains that pertain to currently relevant topics so that they can be properly labeled based on their relevance and the resulting data used when classifying domains as either malicious or benign. To that end, data from Wikipedia and its analytics services are utilized in conjunction with DNS data supplied by blocklists. Finally, the developed system was used to identify relevant topics over a period of 6 months and generated keywords related to them, enabling, among other possible uses, the search for malicious domain names that contain them and, with that, the potential of a real correlation between high visibility topics, be it of national or international relevancy, and an increase in registration for domains pertaining to these topics was verified, especially for topics related to technology.