Nyregistrerade domäner är farligare än gamla

Nyregistrerade domäner föredras av cyberbrottslingar.

De används för en rad typer av intrång och skadlig programvara, visar en rapport från IT-säkerhetsleverantören Palo Alto Networks. I vissa toppdomäner är mer än 90 procent av nyregistrerade domäner avsedda för cyberbrottslighet.

Mer än 70 procent av nyregistrerade domäner kan kategoriseras som skadliga eller misstänkta, visar nu Palo Alto Networks i en kartläggning. Det handlar om en rad olika typer av angrepp, som exempelvis command and control, distribution av malware, phishing och spam.

De flesta nyregistrerade domäner som används för kriminella ändamål är kortlivade. De används ofta för sitt syfte inom några timmar eller dagar efter de skapats och avslutas lika abrupt. Det gör att säkerhetsleverantörer har svårt att hinna upptäcka dem innan de gjort skada.

Varje dygn registreras ungefär 200 000 nya domäner i världen. På en genomsnittlig dag används 600 – 700 toppdomäner. I den farligaste toppdomänen, .to, var mer än 90 % av nyregistrerade domäner skadliga. Det finns flera orsaker till att vissa toppdomäner är särskilt farliga, bland annat att det är billigt eller gratis att registrera domäner där, att de har en mindre strikt policy vid registreringen och att det är möjligt att dölja WHOIS-data som normalt visar vem som står bakom domänen.

Palo Alto Networks rekommenderar företag att blockera eller noggrant övervaka nätverkstrafik till nyregistrerade domäner, och de kan till exempel hindra access till nyregistrerade domäner genom URL-filtrering. Detta är en aggressiv metod eftersom den även blockerar en del legitima sajter, men riskerna med nyregistrerade domäner är helt enkelt för stora, menar företaget.

Hindret behöver vara på plats under åtminstone den första månaden efter att domänen registrerats. Palo Alto Networks menar också att företag bör överväga att helt blockera sådana toppdomäner som främst används för att sprida skadlig kod och skräppost. I Palo Alto Networks säkerhetsplattform går det att använda flera metoder för att stoppa hoten från nyregistrerade domäner, bland annat URL-filtrering.

Palo Alto Networks genomförde undersökningen i samarbete med ICANN och olika domänregistratorer. De analyserade både generiska toppdomäner och landspecifika.