Обнаружение вредоносных ссылок – Часть 2: Эвристическое обнаружение по расположению веб-ресурса

Часть 1: Методы обнаружения
Часть 3: Потенциально опасные регистраторы

В первой части были рассмотрены современные методы выявления вредоносных ссылок. Мы коснулись двух основных способов обнаружения, таких как проверка на сигнатуры и эвристический анализ, обсудив их преимущества и недостатки.

Сравнение со списком опасных сайтов является более точным прямым методом, если мы имеем дело с известными угрозами. Для обнаружения неизвестных видов вредоносного ПО применяются эвристические технологии, которые могут вызывать ложные срабатывания.

Один из алгоритмов эвристического анализа основан на оценке расположения ресурса и данных регистрации домена. Эта информация используется для формирования значения репутации доменного имени и хостинг-провайдера.

Сейчас попробуем проанализировать географические данные ресурса, чтобы сделать заключение о существовании прямых зависимостей.

Объединим все сайты, участвующие в сравнительном анализе в 3 основные группы:

- Безопасные сайты;
- Фишинг-сайты;
- Сайты с вредоносным ПО.

Список безопасных сайтов был сформирован с помощью популярного сервиса веб-аналитики Alexa.

Сведения о сайтах с фишинг-атакми были получены с помощью PhishTank – агрегатора фишинг-сайтов от интернет-сервиса OpenDNS.

Наконец зловредные ссылки были получены при обработке запросов к безопасным сайтам (google.com, microsoft.com, whatismyip.com) при заражении вредоносным ПО.

Итак, мы имеем следующее количество ссылок, разбитых по категориям:

- Безопасные сайты: 10000
- Фишинг-сайты: 100000
- Сайты с вредоносным ПО: 250

Используя базу GeoIP, мы можем судить о стране, предоставляющие услуги хостинга для размещения тестируемых сайтов.

После сопоставления полученной от GeoIP информацией с группами сайтов, можем составить карту распределения.

Географическое распределение безопасных ресурсов:

Географическое распределение фишинг-сайтов:

Географическое распределение сайтов с вредоносным ПО:

На всех трех графиках мы видим, что большинство ресурсов всех 3-х категорий расположены на серверах США. Чтобы выявить отличительные особенности размещения вредоносных и фишинг-сайтов, необходимо исключить 20 стран, которые предоставляют услуги размещения в основном безопасным ресурсам.

Топ стран по размещению фишинг-сайтов:

Топ стран по размещению сайтов с вредоносным ПО:

Теперь более прозрачно видно, что фишинг-домены в основном зарегистрированы на Британских Виргинских островах, в Бельгии, Чили, Гонконге и Таиланде. Как бы то ни было, вместе они составляют только 3% всех фишинг-сайтов, используемых в сравнительном анализе. Остальные сайты имеют такую же страну происхождения, как и безопасные ресурсы.

Наоборот, расположение 45% сайтов с вредоносным ПО отличается от места расположения доверительных ресурсов. Список возглавляет Украина, где размещается около 15% зловредных сайтов. На вершине списка присутствует еще несколько стран бывшего Советского Союза: Грузия, Литва и Белоруссия, которые размещают около 7% сайтов с вредоносным ПО.

Интересно заметить, что 6 сайтов с вредоносным ПО размещаются в Антарктике (на карте не показано). Возможно, это ошибка сервиса GeoIP или рабочие станции исследовательских лабораторий инфицированы и распространяют вредоносное ПО. Хотя данный факт очень сомнителен из-за небольшой скорости интернета на континенте.

В результате анализа с использованием данных GeoIP мы определили зависимости между видом сайта и его географическим размещением. Данная информация должна расцениваться с осторожностью, т.к. местоположение не является достаточным критерием для выявления вредоносных ссылок.