Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] Hiding in Plain Sight: A Longitudinal Study of Combosquatting Abuse

Panagiotis Kintis, Najmeh Miramirkhani|Research Open (London South Bank University)|2017. 08. 28.
Spam and Phishing Detection참고 문헌 35인용 수 66
한 줄 요약

이 논문은 468 billion DNS records를 분석하여 콤보스쿼팅의 대규모 장기 실증 연구를 수행하고, 콤보스쿼팅 도메인의 확산, 수명, 어휘 특성 및 실세계 남용을 밝혀냅니다.

ABSTRACT

Domain squatting is a common adversarial practice where attackers register domain names that are purposefully similar to popular domains. In this work, we study a specific type of domain squatting called "combosquatting," in which attackers register domains that combine a popular trademark with one or more phrases (e.g., betterfacebook[.]com, youtube-live[.]com). We perform the first large-scale, empirical study of combosquatting by analyzing more than 468 billion DNS records---collected from passive and active DNS data sources over almost six years. We find that almost 60% of abusive combosquatting domains live for more than 1,000 days, and even worse, we observe increased activity associated with combosquatting year over year. Moreover, we show that combosquatting is used to perform a spectrum of different types of abuse including phishing, social engineering, affiliate abuse, trademark abuse, and even advanced persistent threats. Our results suggest that combosquatting is a real problem that requires increased scrutiny by the security community.

연구 동기 및 목표

  • 콤보스쿼팅을 정의하고 이를 다른 DNS 스쿼팅 유형과 구분하는 것으로 연구의 동기를 제시한다.
  • 6년 간 상표와 데이터 세트 전반에 걸친 콤보스쿼팅의 규모를 정량화한다.
  • 콤보스쿼팅 도메인의 어휘적 및 시간적 특성을 특징지운다.
  • 피싱, 악성 코드, 제휴 및 상표 남용, APT 사용 등 실제 세계의 남용을 식별한다.
  • 다른 스쿼팅 현상에 비해 탐지 및 시정 조치의 격차를 평가한다.

제안 방법

  • 거의 6년에 걸쳐 수동 및 능동 DNS 소스로부터 468 billion DNS records를 결합한다.
  • 상위 Alexa 도메인으로부터 246 개의 미국 브랜드 상표의 시드 세트를 정의한다(나중에 22개 비즈니스 카테고리).
  • 상표를 포함하는 도메인을 담은 Combosquatting Passive (CP) 및 Combosquatting Active (CA) 데이터 세트를 구성하고 분석한다.
  • 공개 블랙리스트(PBL), APT 보고서, Spamtrap, 악성코드 피드, Alexa 화이트리스트 및 Certificate Transparency와 데이터 세트를 연결하여 남용 세트(C_pbl, C_apt, C_spa, C_mal, C_ale)를 연구한다.
  • Wang 등의 다섯 가지 typosquatting 모델을 사용하여 콤보스쿼팅과 타이포스쿼팅을 비교하고 만연 여부와 공격 모델을 정량화한다.
  • 어휘 구성, 도메인 길이, 단어/세그먼트로의 토크나이즈, 범주 간 일반적인 남용 단어를 분석한다.

실험 결과

연구 질문

  • RQ1콤보스쿼팅이 대규모 DNS 데이터 세트에서 타이포스쿼팅 및 다른 스쿼팅 형태에 비해 얼마나 널리 퍼져 있는가?
  • RQ2콤보스쿼팅 도메인을 특징짓는 어휘적 및 구조적 특성은 무엇인가?
  • RQ3콤보스쿼팅 도메인의 시간적 거동과 수명은 어떠하며, 얼마나 빨리 수정되거나 블랙리스트에 등재되는가?
  • RQ4콤보스쿼팅이 실제로 초래하는 남용은 무엇인가(피싱, 악성코드, SEO, 상표 남용, APT 등)?
  • RQ5콤보스쿼팅 도메인 및 그 남용과 관련된 호스팅/인프라 특성은 무엇인가?

주요 결과

  • 콤보스쿼팅 도메인은 같은 상표를 겨냥하는 타이포스쿼팅 도메인보다 약 100배 더 널리 퍼져 있다.
  • 남용 가능한 콤보스쿼팅 도메인의 거의 60%가 1,000일이 넘는 기간 동안 지속된다.
  • 악용 가능한 콤보스쿼팅 도메인 중 약 20%가 DNS 데이터에서 처음 확인된 지 약 100일 후에 공용 블랙리스트에 나타난다(악성코드 피드의 경우 30%).
  • 2011년에서 2016년 사이에 콤보스쿼팅 쿼리 수가 해마다 증가하는 반면 타이포스쿼팅은 그렇지 않다.
  • 상표에 최대 8자의 문자를 추가한 콤보스쿼팅 도메인이 50%, 40%는 단일 토큰을 추가하여 형성되며 도메인에는 상표의 비즈니스 카테고리와 관련된 단어가 포함되는 경향이 있다.
  • 2013년 이후 691,182개의 TLS 인증서가 107,572개의 완전 자격 콤보스쿼팅 도메인에 발급되었고 그중 Let’s Encrypt가 41.5%를 차지하는 반면, 타이포스쿼팅 도메인은 단지 3,011개의 인증서를 가졌다.
  • 콤보스쿼팅 도메인은 피싱, 사회공학, 제휴 남용, 상표 남용, 악성코드 C2 및 APT 관련 사용 등 다양한 남용을 지원한다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.