Malware domain list, cosa è e come si costruisce

Affidarsi ad un ottimo servizio di protezione della navigazione

Una malware domain list è una lista di nomi di dominio, dunque di siti, da cui è noto che partano attacchi di tipo malware. Si tratta di liste pubbliche di nomi di dominio continuamente aggiornate da cui attingono tutti i servizi di protezione contro i cyberattacchi. In questo articolo racconteremo come si costruiscono le liste di domini malware e perché è importante affidarsi a un servizio di protezione della navigazione che le sfrutti.

1. Cosa è e come si propaga un malware

Per sviluppare il nostro discorso sulle malware domain list, iniziamo con ricordare cosa è un malware e come si propaga. Il termine malware (MALicious softWARE, software dannoso) indica un software creato per danneggiare l’attività digitale di un utente. Una volta infettato, oltre al computer o al dispositivo, il malware può colpire anche gli altri dispositivi con cui questo comunica. Il malware, dunque, si propaga velocemente lungo una rete informatica.

Esistono diverse tipologie di malware. Un malware può essere un worm, un trojan o un virus informatico più complesso come il ransomware. Malware, virus e codice (comunque) dannoso appartengono alla stessa famiglia, ma non sono la stessa cosa. Ogni classe di malware ha un obiettivo diverso, e ormai è ben chiaro che un antivirus non è l’arma migliore da utilizzare. I malware possono interessare computer desktop, laptop, smartphone e dispositivi IoT. Praticamente qualsiasi dispositivo digitale connesso a Internet. Non si salvano neanche i sistemi operativi. Windows, Android, iOS o Apple MacOS sono tutti attaccabili. In pratica, non esistono dispositivi digitali potenzialmente immuni da un malware e, soprattutto, è opinione comune che non sia una questione di “se” ma di “quando”. Ovvero, è meglio entrare nell’ordine di idee che un’azienda sarà colpita prima o poi. E non illudersi di potere farla franca.

Vediamo rapidamente i tipi di malware. E che tipologie di danno può portare un malware.

» Trojan. L’utente riceve un messaggio in chat o via mail e viene invitato a cliccare su un link. Una volta che ciò avviene, sul dispositivo del malcapitato viene installato un piccolo software che può fare diversi tipi di danni. Per esempio, può prendere possesso del computer e monitorarne tutte le attività, come scrivere sulla tastiera.
» Worm. Il worm è un codice dannoso creato con obiettivi diversi. In generale, l’intenzione è di danneggiare dispositivi e reti aziendali. Per sua natura, il worm si riproduce all’interno della rete aziendale e, come il Trojan, si introduce anche via link, ma non solo.
» Exploit. L’exploit è una vulnerabilità presente in un software aziendale. Si può realizzare un malware che, insinuandosi nell’architettura IT aziendale, sfrutti l’exploit e modifichi il software facendogli eseguire attività diverse. Un esempio? Pensate a un’auto a guida autonoma a cui viene modificato il software.
» Phising. Con un attacco phishing l’utente è invitato a eseguire una determinata attività. Per esempio, in un messaggio si è invitati a cliccare su un link e inserire user e password del proprio home banking. Il sito che richiede i dati è identico al sito della nostra banca, ma non lo è. Spesso il phishing anticipa un attacco malware.
» Rootkit e bootkit. I rootkit e I bootkit agiscono a un livello ancora più alto rispetto ai malware che sfruttano gli exploit software. Il loro obiettivo è di bloccare i sistemi informatici. Anche questi codici possono essere diffusi in modalità malware.
» Adware e spyware. L’adware infesta il dispositivo infetto con messaggi pubblicitari, mentre lo spyware spia l’attività dell’utente. Lo spyware raccoglie le informazioni e le invia al sistema che l’ha attivato. I keylogger sono gli spyware che spiano ciò che l’utente digita sulla tastiera. Un calo delle performance del dispositivo può essere dovuto a uno spyware.
» Botnet. Tramite un botnet si prende il controllo del dispositivo che diventa al servizio dei cybercriminali. Per fare un esempio molto comune di questi tempi, un dispositivo può essere “obbligato” a minare criptovaluta. Oppure, il malware potrebbe “costringere” il dispositivo a far parte di un attacco DDOS.
» Ransomware. E veniamo, infine, al malware più diffuso in assoluto. L’installazione a fini estorsivi di un software nella rete aziendale attraverso il dispositivo di un utente. L’obiettivo è “prendere in ostaggio” i dati aziendali, bloccarne l’accesso e chiedere un riscatto per lo sblocco.

Oggi, gli attacchi finalizzati a motivi diversi dallo scopo di lucro sono molto più rari di un tempo. La maggior parte dei malware che si osservano sono ransomware. I cybercriminali, organizzati in vere e proprie bande, puntano (quasi) esclusivamente al ritorno economico.

2. Come si costruisce una malware domain list

Chiarito cosa è un malware e come si propaga, diventa abbastanza chiaro comprendere cosa è una malware domain list. Esiste una Malware Domain List (MDL), un progetto comunitario senza scopo di lucro. Si tratta di un sito che ospita un database di siti che è risaputo ospitino o siano veicoli di diffusione di malware.

Chiunque può inserire un dominio in lista. Inoltre, il database viene alimentato dalle segnalazioni automatiche che provengono dai centri di controllo delle varie aziende informatiche che si occupano di sicurezza. Le aziende attivano un connettore bidirezionale, del codice software di collegamento, al fine di confrontare e aggiornare il database in tempo reale.

Nonostante in passato siano state realizzate altre malware domain list pubbliche, oggi tutte si riferiscono alla MDL. Come detto, l’aggiornamento avviene in maniera manuale o in modalità automatica attraverso i connettori. Non appena qualche entità impegnata nella lotta al cybercrime registra la diffusione di una nuova minaccia, si individua il dominio, generalmente un sito o una pagina web, da cui è partita e lo si segnala.


>> Se hai già attivato FlashStart, leggi questa guida che spiega come estendere le Blacklist per il filtraggio DNS di Internet


3. Perché è importante che la lista dei domini sia aggiornata

Purtroppo, la segnalazione avviene solo dopo la diffusione del malware. Dunque, è possibile allertare i sistemi di protezione solo dopo che qualche azienda ha già subìto un attacco. In questo caso si gioca sul fattore tempo. Ovvero se, per esempio, viene individuata un’attività malevola da un dominio, supponiamo, cinese o russo, si tenta di bloccarne la propagazione giocando sul fuso orario. In questo modo, si dovrebbe riuscire a impedire danni alle aziende occidentali. Insomma, è una corsa contro il tempo.

C’è da dire che oggi i sistemi di filtraggio dei siti, in particolare dei DNS, utilizzano algoritmi di intelligenza artificiale. In questo modo, in base al comportamento e ai contenuti di certi siti particolari, si può prevedere in anticipo che un dominio sia portatore di malware. Questo metodo probabilistico, però, può portare all’indicazione dei cosiddetti falsi negativi. Ovvero, segnalare, e quindi bloccare, l’accesso a un sito che probabilmente potrebbe essere veicolo di malware ma non lo è.

In genere, l’esperienza insegna che è meglio attivare il blocco per poi, a una verifica successiva, sbloccare il sito e toglierlo dalla malware domain list.

4. Perché è meglio affidarsi a un servizio di filtraggio DNS

I servizi più coinvolti nella generazione delle malware domain list sono i filtri DNS come FlashStart. Ne esistono di gratuiti e a pagamento, con evidenti differenze in termini di accuratezza del database dei siti pericolosi (blacklist).


>> FlashStart è leader nella competitività → Richiedi i prezzi


Vediamo perché è più conveniente per un’azienda attivare un filtro DNS a pagamento come FlashStart. Innanzitutto, eseguire il filtraggio a partire dai DNS dei siti è decisamente più efficace. Se si basasse il filtro sul nome di dominio, sarebbe molto più facile per i cybercriminali aggirare le protezioni. Perché si può clonare totalmente il sito di una banca. Come avviene nel caso dei siti realizzati per le operazioni di phishing.

Altra caratteristica che contraddistingue un filtro DNS come FlashStart è il monitoraggio della rete Anycast. Si tratta di un servizio globale di monitoraggio dei siti e dei percorsi per raggiungerli. In termini tecnici, lo sfruttamento della rete Anycast riduce al minimo la latenza durante il controllo del sito richiesto dall’utente.


>> FlashStart ti protegge da una vasta gamma di minacce e vieta l’accesso a siti malevoli → Inizia ora la prova gratuita


Un filtro DNS di qualità come FlashStart, inoltre, utilizza l’Intelligenza Artificiale per l’aggiornamento automatico delle blacklist. Gli algoritmi di Intelligenza Artificiale contenuti all’interno del servizio FlashStart permettono di esaminare fino a 200mila siti al giorno, supportano 24 lingue diverse e riconoscono 90 categorie in base al contenuto. Si pensi che, approssimativamente, in 24 ore nel mondo si creano circa 250mila nuovi siti.

Altre caratteristica che distingue FlashStart dalla concorrenza è l’integrazione nativa con il servizio Active Directory di Microsoft, ovvero all’interno delle reti Microsoft. Un’altra peculiarità della soluzione FlashStart è il geoblocking: il blocco dell’accesso a siti localizzati geograficamente in Paesi considerati pericolosi.

Il servizio FlashStart basato su cloud è disponibile in diverse modalità. FlashStart PRO è studiato per proteggere le PMI e le famiglie. PRO Plus amplia le funzionalità per proteggere le aziende, le scuole e gli enti pubblici. L’hybrid firewall è una soluzione completa di protezione che comprende anche l’appliance hardware e, infine, FlashStart ha una soluzione specifica per gli Internet Service Provider e i carrier.


Su qualunque Router e Firewall puoi attivare la protezione FlashStart® Cloud per mettere in sicurezza i device desktop e mobile e i dispositivi IoT sulle reti locali.

Articoli correlati