Gravity Falls: A Comparative Analysis of Domain-Generation Algorithm (DGA) Detection Methods for Mobile Device Spearphishing

Diese Studie bewertet verschiedene DGA-Erkennungsmethoden an einem neu erstellten Datensatz namens „Gravity Falls", der Smishing-Domains eines einzelnen Angreifers zwischen 2022 und 2025 abbildet, und zeigt auf, dass sowohl traditionelle Heuristiken als auch aktuelle ML-Modelle bei der Erkennung sich entwickelnder Taktiken wie Wörterbuchkonkatenation und thematischem Combo-Squatting nur eingeschränkt wirksam sind.

Das Wesentliche

🕵️‍♂️ Die Geschichte hinter „Gravity Falls"

Stellen Sie sich vor, ein Dieb (ein Cyber-Krimineller) versucht, Menschen per SMS zu täuschen. Er sagt: „Klicken Sie hier, um Ihr Paket zu verfolgen" oder „Zahlen Sie Ihr Strafzettel, sonst wird Ihr Auto abgeschleppt."

Das Problem: Der Dieb weiß, dass Sicherheitsprogramme sofort erkennen, wenn er eine zufällige Adresse wie xk7j2m9.com nutzt. Also erfindet er einen Trick: Er nutzt einen Algorithmus, der automatisch Millionen von neuen Internet-Adressen (Domains) generiert. Das nennt man DGA (Domain Generation Algorithm). Es ist wie ein Roboter, der jede Sekunde eine neue Adresse für sein Haus erfindet, damit die Polizei ihn nicht fangen kann.

Die Forscher von der Dakota State University haben sich diese Adressen angesehen und ein neues Projekt namens „Gravity Falls" gestartet. Sie haben nicht nur alte Daten gesammelt, sondern einen echten Dieb über vier Jahre (2022–2025) beobachtet und gesehen, wie er seine Tricks verändert hat.

🎭 Der Dieb verändert sein Kostüm (Die vier Phasen)

Der Dieb war schlau und hat seine Taktik jedes Jahr geändert, um den Sicherheitsprogrammen zu entkommen. Die Forscher haben vier „Kostüme" (Cluster) identifiziert:

1. Das Zauberkunststück (2022 - „Cats Cradle"):

   • Der Trick: Der Dieb nutzte völlig zufällige Buchstabenkombinationen, wie qz9x2k.com.
   • Die Analogie: Das ist wie ein Dieb, der eine Maske aus wilden Farben trägt. Jeder sieht sofort: „Das sieht verdächtig aus!"
   • Ergebnis: Die Sicherheitsprogramme haben ihn hier leicht erkannt.

2. Das Wörterbuch-Mischmasch (2023 - „Double Helix"):

   • Der Trick: Der Dieb hörte auf, Zufallsbuchstaben zu nutzen. Stattdessen nahm er echte Wörter aus dem Wörterbuch und klebte sie zusammen, z. B. blau-roter-bus.com.
   • Die Analogie: Der Dieb zieht sich jetzt normale Kleidung an. Er sieht aus wie ein normaler Bürger. Die Sicherheitsprogramme, die nur auf „Zufälligkeit" achten, wurden verwirrt.
   • Ergebnis: Die Programme hatten große Mühe, ihn zu erkennen.

3. Das Paket-Versteck (2024 - „Pandoras Box"):

   • Der Trick: Der Dieb nutzte Themen wie Paketlieferung (Amazon, DHL). Er mischte echte Markennamen mit kleinen zufälligen Endungen, z. B. amazon-paket-verfolgung-xyz.com.
   • Die Analogie: Der Dieb trägt jetzt eine Uniform eines Paketboten. Er sieht so aus, als würde er eine wichtige Aufgabe erfüllen. Die Sicherheitsprogramme wussten nicht, ob er echt oder gefälscht war.
   • Ergebnis: Die Programme scheiterten oft.

4. Der Amtsschein (2025 - „Easy Rider"):

   • Der Trick: Der Dieb nutzte Themen wie Bußgelder oder Behörden (DMV, Polizei). Er nutzte Angst als Waffe („Zahlen Sie jetzt, sonst...").
   • Die Analogie: Der Dieb trägt jetzt einen Anzug und eine Sonnenbrille und gibt sich als Polizist aus. Niemand traut sich, ihn zu hinterfragen.
   • Ergebnis: Die Sicherheitsprogramme waren fast machtlos.

🛡️ Der Test: Wer ist der beste Detektiv?

Die Forscher haben vier verschiedene Sicherheits-Tools getestet, um zu sehen, ob sie den Dieb in den verschiedenen Kostümen fangen können:

1. Der Zähler (Shannon Entropie): Zählt nur, wie „zufällig" die Buchstaben sind.
2. Der Muster-Checker (Exp0se): Sucht nach bekannten verdächtigen Mustern.
3. Der KI-Lernende (LSTM): Eine künstliche Intelligenz, die gelernt hat, wie DGA aussieht.
4. Der Profi-Scanner (DGAD): Ein komplexeres KI-Tool.

Das überraschende Ergebnis:
Die Tools waren wie Detektive, die nur auf eine Art von Dieb trainiert wurden.

• Als der Dieb das bunte Kostüm (2022) trug, wurden alle Tools super.
• Sobald der Dieb aber das normale Kostüm (Wörterbuch-Mischmasch) oder den Polizisten-Anzug (Behörden-Thema) trug, wurden die Tools blind. Sie dachten, der Dieb sei ein unschuldiger Bürger.

Besonders die KI-Tools, die man eigentlich für „modern" hält, haben versagt, weil sie nur gelernt hatten, wie der Dieb früher aussah, nicht wie er heute aussieht.

💡 Was lernen wir daraus? (Die Moral der Geschichte)

1. Kein Einheits-Schutz: Es gibt keinen einzigen „Super-Scanner", der alle Arten von Betrug erkennt. Was gegen zufällige Buchstaben hilft, hilft nicht gegen echte Wörter.
2. Der Dieb lernt dazu: Cyber-Kriminelle passen sich schnell an. Wenn wir eine Mauer bauen, bauen sie eine Leiter.
3. Kontext ist König: Um den Dieb zu fangen, reicht es nicht, nur auf die Adresse zu schauen. Man muss auch schauen: Wer hat die Nachricht geschickt? Was steht im Text? Ist es eine echte Behörde oder ein Fake?
4. KI braucht Hilfe: Die aktuellen KI-Tools sind gut, aber sie brauchen menschliche Hilfe oder neue Daten, um die neuen Tricks zu verstehen. Vielleicht helfen zukünftige Tools, die wie ein Gesprächspartner (wie ein Chatbot) denken und den Inhalt der Nachricht verstehen, nicht nur die Adresse.

Fazit

Die Studie „Gravity Falls" zeigt uns, dass die Sicherheitswelt oft zu sehr auf alte Tricks fixiert ist. Wenn wir uns nur auf die „Zufälligkeit" von Adressen verlassen, werden wir von modernen Betrügern, die sich als normale Menschen verkleiden, weiterhin getäuscht werden. Wir müssen schlauer werden und den ganzen Kontext betrachten, nicht nur die Adresse.

Technische Zusammenfassung

1. Problemstellung und Motivation

Das Paper adressiert eine signifikante Lücke in der aktuellen Sicherheitsforschung: Die meisten Studien zu Domain-Generation-Algorithmen (DGAs) konzentrieren sich auf Malware-Kommandos-und-Control-Server (C2) oder E-Mail-Phishing. Es gibt jedoch kaum Erkenntnisse darüber, wie gut DGA-Erkennungssysteme gegen SMS-Spearphishing (Smishing) auf mobilen Geräten funktionieren.

• Kontext: Angreifer nutzen DGAs, um massenhaft ephemere (kurzlebige) Domains für Infrastrukturen zu generieren, die für Datenklau oder C2 genutzt werden.
• Spezifisches Risiko: Bei Smishing sind die Ziele oft private Einzelpersonen außerhalb von Unternehmensnetzwerken, die weniger Schutzmechanismen und Warnsignale haben.
• Herausforderung: Die Angreifer rotieren ihre Domains schnell, um institutionelle Verteidigungen zu umgehen. Die Forschung fehlt jedoch an Datensätzen, die die Evolution von Taktiken (TTPs) in diesem spezifischen Smishing-Kontext über mehrere Jahre abbilden.

2. Der „Gravity Falls" Datensatz

Als Kernbeitrag stellt das Paper Gravity Falls vor, einen neuartigen, semi-synthetischen Datensatz, der zwischen 2022 und 2025 gesammelt wurde. Er basiert auf Links aus Smishing-Nachrichten (SMS, iMessage, E-Mail-zu-SMS) eines einzigen, identifizierten Bedrohungsakteurs.

Der Datensatz ist in vier evolutionäre Cluster unterteilt, die die Anpassungsfähigkeit des Angreifers zeigen:

1. Cats Cradle (2022): Kurze, zufällige alphanumerische Strings (5–8 Zeichen). Ziel: Validierung des Ziels via gefälschtes CAPTCHA.
2. Double Helix (2023): Konkatination von Wörterbuchwörtern (z. B. zwei Wörter zusammengefügt). Ziel: Validierung via CAPTCHA, schwerer zu erkennen durch rein zufälligkeitsbasierte Detektoren.
3. Pandoras Box (2024): Thematische Combo-Squatting-Varianten mit Paketlieferung (Amazon, USPS etc.). Ziel: Credential Theft. Nutzung von Keyword-Splitting zwischen Subdomain und Domain.
4. Easy Rider (2025): Thematische Combo-Squatting mit Behörden-/Maut-Themen (DMV, EZ-Pass). Ziel: Betrug durch gefälschte Gebühren. Nutzung von zufälligen Suffixen und internationalen Absendern.

Der Datensatz enthält ca. 10.000 bösartige Domains (pro Cluster) und wurde mit 10.000 „benignen" (harmlosen) Domains aus den Top-1M-Listen (Alexa, Cisco, Cloudflare, Majestic) als Kontrollgruppe verglichen.

3. Methodik

Die Autoren evaluierten vier verschiedene DGA-Erkennungstools gegen den Gravity-Falls-Datensatz:

• Traditionelle Heuristiken:
  • Shannon-Entropie: Misst die Informationsdichte/Zufälligkeit des Domain-Namens.
  • Exp0se: Ein klassischer Detektor basierend auf Entropie, Konsonantenanzahl und String-Längen-Schwellenwerten.
• Maschinelles Lernen (ML):
  • LSTM-Klassifikator (MiaWallace0618): Nutzt One-Hot-Encoding von TLDs und Long Short-Term Memory Networks.
  • COSSAS DGAD: Ein Tool, das auf einem Temporal Convolutional Network (TCN) trainiert wurde (basierend auf Shadowserver-Daten).

Experimentelles Setup:
Die Tools wurden auf einer Ubuntu-VM ausgeführt. Die Auswertung erfolgte anhand der Metriken Precision (Präzision), Accuracy (Genauigkeit) und Recall (Wiedererkennung). Die Annahme war, dass Top-1M-Domains als „benign" gelten.

4. Ergebnisse

Die Ergebnisse zeigen, dass die Leistung der Detektoren stark von der spezifischen Taktik des Angreifers abhängt und nicht allgemein robust ist.

• Cats Cradle (Zufällige Strings): Hier erzielten alle Tools die besten Ergebnisse, insbesondere Exp0se und DGAD (hohe Recall-Werte bis zu 92,4 % bzw. 90,8 %). Zufällige Strings sind für Entropie-basierte und strukturelle Heuristiken leicht zu erkennen.
• Double Helix (Wörterbuch-Konkatination): Die Leistung brach hier massiv ein.
  • Exp0se: Recall sank auf 1,3 %.
  • LSTM: Recall sank auf 0,4 %.
  • DGAD: Recall sank auf ca. 4,7 %.
  • Begründung: Da echte Wörter verwendet werden, wirken die Domains weniger zufällig und entgehen den Entropie-Checks.
• Pandoras Box & Easy Rider (Themenbasiertes Combo-Squatting): Auch hier war die Erkennung schlecht.
  • Die Recall-Werte lagen meist unter 50 %, oft sogar unter 5 % für ML-Modelle.
  • Die Kombination aus bekannten Markenwörtern/Keywords und kleinen zufälligen Suffixen täuscht die Modelle, die auf reine Zufälligkeit oder reine Wortlisten trainiert sind.

Zusammenfassende Erkenntnis: Weder traditionelle Heuristiken noch aktuelle ML-Modelle sind in der Lage, die evolutionären Taktiken von Smishing-DGA-Domains konsistent zu erkennen. Die Modelle, die auf Malware-C2-Daten trainiert wurden, generalisieren schlecht auf Smishing-Szenarien, die Wörterbuchwörter mit geringfügiger Randomisierung mischen.

5. Schlüsselbeiträge und Bedeutung

1. Neuer Datensatz: Bereitstellung von Gravity Falls, dem ersten umfassenden, semi-synthetischen Datensatz, der die Evolution von Smishing-DGA-Taktiken über vier Jahre hinweg dokumentiert.
2. Nachweis der Unzulänglichkeit bestehender Tools: Das Paper beweist empirisch, dass der aktuelle Stand der Technik (State-of-the-Art) für die Erkennung von Smishing-Domains unzureichend ist. Die hohe Performance auf klassischen Malware-Datensätzen täuscht über die Schwäche gegenüber modernen, hybriden Angriffsmethoden hinweg.
3. Defensive Implikationen:
   • Eine rein heuristische oder rein ML-basierte Abwehr reicht nicht aus.
   • Es wird ein layered approach (mehrschichtiger Ansatz) gefordert: Schnelle Heuristiken für offensichtliche Zufallsstrings, aber zwingend Kontextanalyse (Nachrichteninhalt, Hosting-Infrastruktur, Markenmissbrauch) für Wörterbuch-basierte Angriffe.
4. Zukunftsperspektive: Die Autoren schlagen vor, Large Language Models (LLMs) wie Claude zur Analyse von Themen und Mustern in den Domains zu nutzen, da diese in der Lage waren, die gemeinsamen Themen der Cluster zu erkennen, wo klassische Tools versagten.

Fazit

Die Arbeit „Gravity Falls" demonstriert, dass sich Angreifer im Smishing-Bereich erfolgreich an DGA-Erkennung anpassen, indem sie von rein zufälligen Strings zu semantisch plausiblen, aber manipulierter Kombinationen aus Wörtern und Zufall übergehen. Dies erfordert einen Paradigmenwechsel in der Verteidigung: weg von reinen Domain-String-Analysen hin zu kontextbewussten, mehrdimensionalen Erkennungsansätzen.