Nedávno jsem zde na blogu popisoval naše letošní zkušenosti s vyřazováním domén a upozornil jsem na rozpor mezi našimi zjištěními a zjištěními organizace DNS Abuse Institute ohledně počtu zlovolných domén v doméně .CZ.

Slíbil jsem, že se od DNS Abuse Institute pokusíme získat seznam konkrétních incidentů a s nimi spojených webů. To se nakonec podařilo a výsledky jsou velmi zajímavé.

Za období od začátku března do konce září, kdy jsme vyřadili 34 škodlivých .CZ domén, které představovaly cílené útoky na české uživatele, detekovala organizace DNS Abuse 54 škodlivých .CZ domén (56 včetně stránek šířících malware). Na první pohled by se tedy zdálo, že používání blacklistů, ze kterých DNS Abuse vychází (Phishtank, APWG a URLHaus) může být užitečné. Bohužel jejich použití ty nejlépe cílené útoky vůbec nezadrží.

Nejdříve je třeba říci, že mezi našimi daty a daty DNS Abuse Institute není žádný průnik. Nám hlášené, případně námi detekované phishingové domény spadají dle definice organizace DNS Abuse všechny do skupiny „malicious“, tedy mezi domény, které jsou již registrovány se záměrem jejich zneužití. Jako příklad lze uvést domény eportal-cssz.cz, ceskaposta-id.cz nebo akceptovat.cz. Oproti tomu DNS Abuse nám poslalo seznam 26 kompromitovaných domén a 28 domén typu malicious. Pravděpodobně však rozdělení domén dle typu provádí automat, protože ve skupině malicious jsem nalezl dvě domény, které hostují legitimní obsah a byly tak nejspíš kompromitované a několik domén, které jsou zaparkované a dle doby jejich existence nevypadají, že by byly registrovány za účelem zneužití.

Problém ovšem spatřuji v tom, že až na jedinou výjimku, doménu ibsfio.cz, nevypadají malicious domény a pod nimi se vyskytující URL jako podvodné stránky, které by cílily na uživatele z ČR. Ještě více je to patrné v části domén označených jako kompromitované. Zpětně už samozřejmě nelze ověřit, jaký obsah se na daných doménách nacházel a bohužel nepomohla ani služba archive.org. I kdyby však na některé z URL identifikovaných blacklisty používanými DNS Abuse Institute byl phishing na české uživatele, šance na jejich úspěšné okradení by použitá URL a domény dost snižovaly. Přece jen doména přímo napodobující konkrétní službu nebo instituci má větší šanci než nahodilá doména s podivnou URL. Jen několik příkladů URL od DNS Abuse Institute:

• https://sfdrlympvwavvhbslqphrxetwbanidvuewd.smaeu.cz/ZmVsaXh2cEB3ZXN0bmV0LmNvbS5hdQ==
• https://secure.oldschool.com-uc.cz/m=weblogin/loginform212,784,618,81161556,1
• https://my20iareaclient.ceskyprales.cz/kheir/fvjh5645/Rn3564655.php
• https://www.atopohelp.cz/ncsa.idrn/login.php
• https://xzy.cz/b270
• https://nedelevrodine.cz/wp-admin/js/Pin/billing.php

V porovnání s doménami, které jsme řešili u nás a u kterých víme, že jejich obsah skutečně cílil na naše uživatele, nemá nejspíš seznam domén poskytnutých DNS Abuse pro ochranu českých uživatelů valnou hodnotu.

Kromě útoků na české uživatele využívajících doménu .CZ nám projde pod rukama i veliké množství jiných domén, jako .COM, .ONLINE, .TOP a dalších, které ovšem hostují stejný obsah, jako například výše zmiňovaná doména eportal-cssz.cz. Obvykle pak splňují definici malicious domény a jsou tedy registrovány za účelem provedení daného útoku. Jak jsou na tom s detekcí takovýchto domén hostujících obsah útočící na české uživatele zahraniční blacklisty nedokážu říci, ale ze zjevného neúspěchu při detekci podobných stránek v doméně .CZ lze soudit, že to nebude žádná sláva.

Nemohu s jistotou tvrdit, že neexistuje blacklist, který obsáhne i útoky na uživatele na úrovni jednotlivých národních států, ale spíše se domnívám, že nejvíce relevantní data pro ochranu uživatelů v konkrétní zemi mají jejich národní a vládní bezpečnostní týmy a případné bezpečnostní týmy na úrovni jednotlivých národních registrů. Pokud někdo staví své blacklisty bez dat těchto institucí, pravděpodobně zahrne především generické útoky směřující na uživatele nadnárodních služeb typu Facebook. Pokud vám tedy někdo nabízí služby fungující na principu filtrování přístupu k podezřelým doménám, je na místě odpovědět replikou z nadpisu a zkontrolovat si, před čím že budou vaši uživatelé reálně chráněni.