Spamhaus DBL en Malware Domain List
Cybercriminelen registreren vaak specifieke domeinnamen om hun botnetcontrollers te hosten. Dit stelt hen in staat om snel een nieuwe VPS op te zetten, het botnetcontrollerpakket in te laden en weer contact te maken met hun botnet, zelfs als hun vorige hostingprovider de server heeft gesloten. Door geen configuratiewijzigingen aan de geïnfecteerde computers (bots) aan te brengen, behouden ze een groot voordeel. Spamhaus houdt zowel IP-adressen als domeinnamen bij die worden gebruikt voor command-and-control (C&C) servers. IP-adressen worden opgenomen in de Spamhaus SBL en/of BCL, terwijl domeinnamen in de Spamhaus DBL of de Malware Domain List worden vermeld, een sub-set van DBL die specifiek is voor botnet- en malwarehosting.
Registratie van botnet domeinen
In 2017 registreerde de Spamhaus DBL bijna 50.000 domeinnamen uitsluitend bedoeld voor het hosten van botnetcontrollers. Dit aantal omvat geen gekaapte domeinnamen en domeinen van “gratis sub-domein” providers. Cybercriminelen maken gebruik van verschillende top-level domeinen (TLD’s), waaronder generieke TLD’s (gTLD’s) en landcode TLD’s (ccTLD’s), waarbij ze vaak kiezen voor .com en .ru. De ccTLD .ru was in 2017 de meest misbruikte TLD, ondanks dat er veel minder geregistreerde domeinen waren dan in .com.
Domeinregistrars en fraude
Cybercriminelen moeten een sponsoring registrar vinden om een domeinnaam te registreren. In 2017 werden de meeste botnetcontroller domeinen geregistreerd via grote registrars, met Namecheap als de grootste, verantwoordelijk voor meer dan 25% van alle geregistreerde botnetdomeinen. Veel van deze registrars hebben niet de middelen om frauduleuze registraties tijdig op te sporen. Kleinere registrars, die vaak relatief onbekend zijn, hebben vaak een hoog percentage geregistreerde cybercrime-domeinen. Registrars met beperkte middelen of slechte processen voor misbruikdetectie kunnen nauwelijks samenwerken met wetshandhavers, wat het sluiten van botnets bemoeilijkt. Dit verhoogt het risico voor onschuldige mensen wiens online bankgegevens of persoonlijke informatie in gevaar komt.