様々な悪意のあるソフトウェアが、(単一文字を使用したドメイン名を含む国のドメイン名を使用する、IP アドレスを 8 進法で表す、スラッシュを繰り返すなどにより)URL アドレスの難読化技術を使用して活動の隠蔽を試行します。この場合、技術的に異なるアドレス(たとえば、スキーム、ポート、URL アドレス内の文字の大文字小文字の区別など)を介して同じコンテンツに頻繁にアクセスできます。
この結果、初期の形式のセキュリティ侵害インジケーター(IoC) と URL をマッチングすると、IoC とマッチングされないため、脅威を見逃す原因となります。
たとえば、github.com@520966948 は、実際には facebook.com に属する難読化された IP アドレス 31.13.83.36 です。
CyberTrace には、2 つの便利な機能があります:
Kaspersky Data Feeds では、正規化バリアントが異なる 13 のバリアントは使用できません。なぜなら、これらのバリアントを使用すると、フィードのサイズが不合理に大きくなるからです。ただし、ユーザーからカスペルスキーに既知の URL が特定の形式で送信された場合、正規化の使用により、カスペルスキーはこれを変換し、フィード内のマッチングを検索し、これを検知できます。
現時点では、URL を正規化するための 13 のルールが使用されています。これらのルールの適用例は、次の通りです:
.」および「..」)を削除する:http://www.example.com/../a/b/../c/./d.html => http://www.example.com/a/b/c/d.html
http://example.com → example.com
тест.рф → xn--e1aybc.xn--p1ai
www 接頭辞を削除する:www.example.com → example.com
example.com//dir/test.html → example.com/dir/test.html
example.com/ → example.com
login:password@example.com → example.com
example.com:80/index → example.com/index
#fragment 参照を削除する:example.com#fragment → example.com
example.com./index.html → example.com/index.html
EXAMPLE.COM → example.com
0112.0175.0117.0150 → 74.125.79.104
悪意のある URL のグループをクローズするために、このフィードでは、8 つのタイプのエントリを使用し、これらをマスクされたエントリとマスクされていないエントリに分けます。
特定のタイプのエントリの目的に関して、URL に基づいて正規化された URL とデータベース内のエントリのマッチングを実行する必要があります。URL の正規化とマスクを使用すると、フィードの検知率が上がり、提供されるデータ量が最小限に抑えられ、誤検知が減ります。
詳細は、Kaspersky Threat Intelligence Data Feeds の実装ガイドを参照してください。
ページのトップに戻る