Какво е блоклист с малуер домейни?
Блоклистът с малуер домейни (malware domain blocklist) е курирана колекция от домейни и IP адреси, за които е известно, че хостват малуер, фишинг, командно-контролна (C2) инфраструктура или ексфилтрационни крайни точки.
При уеб скиминга стойността му е директна: ако checkout страница се свърже с домейн от такъв списък, имате потвърден инцидент — а не просто подозрение.
Защо един източник не е достатъчен
Различните feed-ове покриват различни заплахи, обновяват се с различна честота и имат различни нива на фалшиви положителни. Разчитането на един списък оставя широки сляпи зони.
Затова ExploitShield обединява над 500 източника в няколко категории: комерсиално разузнаване (Spamhaus DBL, DROP, SURBL), отворени общностни feed-ове (URLhaus, OpenPhish, PhishTank, abuse.ch, MalwareBazaar, Feodo Tracker, ThreatFox), DNS-слой репутация (Quad9, публични OpenDNS списъци) и общи detection списъци (Maltrail, StevenBlack).
Как се сливат 500+ източника
Всеки feed се нормализира до канонична форма (домейн, IP или URL шаблон), дедупликира се между източниците, маркира се с произход и доверие и се обновява на час.
При всяко сканиране изходящите дестинации, видяни от реалния браузър, се сверяват срещу обединения набор — не срещу остаряло локално копие.
Защо честотата на обновяване има значение
Ексфилтрационните домейни често живеят само дни. Седмично обновяван списък ги пропуска изцяло.
Като сверяваме при всяко сканиране срещу feed-ове, обновени на час, хващаме домейни в първите им часове на активност — точно прозореца, в който една кампания нанася най-много щети. Нов домейн, който още не е в нито един feed, се маркира чрез WHOIS възраст и евристики за форма на скимър.
Често задавани въпроси
Какво е блоклист с малуер домейни и как се използва?
Това е курирана колекция от известни зловредни домейни и IP адреси. ExploitShield сверява всяка изходяща дестинация, видяна от реален браузър при сканиране, срещу обединен набор от 500+ източника — потвърждавайки инциденти, когато наблюдавана страница се свърже с маркиран домейн.
Колко често се обновяват блоклистите?
Обединеният набор се нормализира и обновява на час, а сверяването става при всяко сканиране — така ексфилтрационни домейни се хващат в първите си часове на активност, вместо дни по-късно.
Какво става с напълно нов домейн, който още не е в нито един списък?
Освен срещу блоклистите, всяка дестинация се оценява чрез WHOIS възраст, IP репутация и евристики за форма на скимър — така новорегистрирани ексфилтрационни крайни точки се маркират още преди да попаднат в публичен feed.