Analyse de noms de domaines frauduleux liés au covid-19...

Analyse de noms de domaines frauduleux liés au covid-19

Suite à la diffusion par le CERT US d’une liste d’IoC (Indicator Of Compromise), principalement FQDN frauduleux liés au corona virus covid-19, nous avons réalisé une analyse de ces derniers pour savoir s’il était possible de trouver des corrélations. 

Source des données : https://www.ncsc.gov.uk/news/covid-19-exploited-by-cyber-actors-advisory

Démarche et méthode

  1. Collecter les données (.csv)
  2. OSINT Whois
  3. Normaliser et décomposer l’information disponible pour créer de nouvelles dimensions d’analyse qui pourraient devenir des points pivots (TLD, nom de domaine, pays du registrant, du registrar, IP et location IP, range IP…)
  4. Capacité d’analyse et d’investigation dans les données avec l’outil de visualisation des données quantitative QlikView.
     Investigations dynamiques

  5. Recoupement et visualisation des données qualitatives et spaciales selon les techniques de l’analyse criminelle avec IBM i2 Analyst’s Notebook (outil standard utilisé pour l’analyse criminelle,  communément appelé « anacrim ») 
  6.  Identification des entités influentes

  7.  Identification des range d’IP communs

  8. Identification clusters par pays pour IP

  9. Identification IP communes

  10.  Identifications noms domaines communs à plusieurs TLD


    Exemple : un même nom de domaine enregistré avec 4 TLD différents et range IP commun. 

  11. Conclusion :
    Possibilité de trouver des points pivots utilisés pour les fraudes et capacité de les utiliser pour la mise en oeuvre de règles de détection dans les SOCs ; pas uniquement basées sur l’indicateur en lui même, mais sur un pattern de corrélation. 

A lire également