工作来源

USENIX Security 2022

工作背景

此前威胁情报的工作都证明了单一数据来源存在覆盖率低的问题,通常的解决方案是扩大数据共享。但通常都是企业加入网络威胁联盟、反钓鱼工作组等专业组织,通常也会设置互利互惠条件,避免“搭便车”的行为。

在世界卫生组织宣布疫情大流行一周后,Sophos 安全专家 Joshua Saxe 创建了COVID-19 网络威胁联盟(CTC)专门共享与疫情有关的网络威胁。涉及的威胁有四类:域名、URL、IP、Hash,但后二者一直没有数据,只能侧重分析域名。

COVID-19 网络威胁联盟(CTC)是一个松散的情报共享社区,任何人都可以共享数据。在三个月内就有超过 4000 名个人/组织加入,其中也包括微软、赛门铁克、Confense以及一些要求匿名的公司。

社区创建后成员快速增加。根据用户信息,一半来自北美、三分之一来自欧洲、3%来自澳大利亚,其余是世界各地的人员。

截至 2020 年 7 月,AlienVault OTX 的 CTC 组接受了 738 名用户加入,只有 47 名用户提供了 IOC,而且 10 名用户的提交量达到 90%。只有两名用户在持续更新 IOC 指标,其他人则是零星提交的。

社区有 4000+ 成员,但只有 1-2% 的成员提交指标,且极少数用户占了绝大多数的提交量。这和 PhishTank 类似,社区的前十产生了近七成的提交量。

工作准备

CTC 的黑名单有四个来源:① Alienvault OTX ② Slackbot ③ 署名厂商 ④ 匿名厂商。

安全厂商在 AlienVault 之外每天贡献了上亿的威胁指标:

为了自动化验证,接入了 VirusTotal 的接口,如果有 10+ 个厂商标记则自动进入黑名单,如果有 4-10 个厂商标记则进行人工审核,如果低于 4 个厂商标记认为不是恶意的。早期研究认为情报源之间的重合度非常低,这样导致了只有 5.14% 的域名能够进入黑名单。

后期,社区提供众包机制来扩大人工验证,但此时社区的用户数量相比最初已经大幅下降。

工作评估

手工验证250个域名发现,只有 5 个域名与 COVID-19 有关,21 个域名是其他类型的恶意域名,3 个域名是合法的。因此,其中存在 1% 的误报,71% 的域名都不可用。一周后,与疫情有关的域名上升到 4%,其他类型的恶意域名则有所下降。

而 DomainTools 发布的域名列表中尽管有 6% 的域名与疫情有关,但误报率达到了 13%。

一直稳步增长,到 2020 年 7 月 1 日共记录了 27096 个二级域名的 46832 个 FQDN。

用 15 种语言生成了 370 个与疫情有关的词汇。相关域名的注册量非常大,每天数千个,但进入黑名单的并不多。

根据 Google Safe Browsing 和 VirusTotal 的数据,也是以钓鱼为主。这可能是由于自动审核机制在判定上,更容易让传统形式滥用进入黑名单。

VirusTotal 中的检出情况如下所示,最多被 27/84 个厂商检出。这也就意味着,设定的 10 个厂商的阈值已经达到一半厂商判定恶意的情况。

当然,被越多的厂商标记,就容易被 Google Safe Brower 标记为恶意:

前十的厂商中,大多数引擎检测率保持稳定,AegisLab WebGuard 的猛然增加可能是接受了 CTC 的黑名单所导致的,而 Avira 和 ESET 的检出率是在降低的。

一旦域名在黑名单中出现,后来就很少会有引擎将其标记为恶意了。

这就存在了一个矛盾,如果不使用 VirusTotal 进行筛选,就不能保证低误报。可如果使用 VirusTotal 进行自动审核,就不能对已有手段形成补充。

使用 Farsight Security 的 PassiveDNS 数据查看 CTC 遗漏了那些与疫情有关的恶意域名。通过相关的关键词发现 3011717 个与疫情有关的域名,其中有 188305 个域名被至少一个引擎标记。值得注意的是,162406 个由 Fortinet 标记。5767 个域名被 4-10 个引擎标记,只有 610 个域名被超过 10 个引擎标记。

其中有 75 个与疫情有关的域名,符合条件缺没有进入黑名单被漏报。

在注册机构通过EPP设置 CLIENTHOLD 和 SERVERHOLD 视为该域名被干预了,大约 30% 的域名被干预控制。

通常来说,干预比 CTC 黑名单更快:

公共 DNS 解析服务 Quad9 在 5 月初接入了 CTC 黑名单,检出率快速上升。

工作思考

用户贡献的指标中只有 1.23% 能进入黑名单,当然有设计接纳机制的问题(依赖 VirusTotal 的指标审查导致只有 5.14% 的用户提供的情报进入黑名单中),但是用户提供数据的质量可能也十分堪忧。这可能和一个开放社区的运营类似,国内多个社区都存在类似的问题,在用户量较小的时候能够保证内容的质量,后续就会出现各种各样的问题。质量是一个大问题,数量的极度倾斜(10 个用户贡献了 90% 的情报)问题也很大。这样导致社区最后无法维系下去,也就起不到什么作用。

从数据看略有提升,但是实际上看:集合社区的数据,几乎不能够提高对威胁的覆盖率;与已有手段相比,几乎不能够提高对威胁的应对能力。毕竟,黑名单中 58.4% 的域名,现有缓解措施行动是更快的。

声明:本文来自威胁棱镜,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。