Domain Shadowing – DNS-Kompromittierung für Cyberkriminalität

Domain Shadowing - DNS-Kompromittierung für Cyberkriminalität

Beitrag teilen

Cyberkriminelle kompromittieren Domainnamen, um die Eigentümer oder Benutzer der Domain direkt anzugreifen oder sie für verschiedene ruchlose Unternehmungen wie Phishing, Malware-Verteilung und Command-and-Control-Operationen (C2) zu nutzen. Ein spezieller Fall von DNS-Hijacking ist das so genannte Domain Shadowing , bei dem Angreifer heimlich bösartige Subdomains unter kompromittierten Domainnamen erstellen. 

Shadow Domains haben keinen Einfluss auf den normalen Betrieb der kompromittierten Domains, so dass sie von den Opfern nur schwer entdeckt werden können. Die Unauffälligkeit dieser Subdomain ermöglicht es den Tätern oft, den guten Ruf der kompromittierten Domain über lange Zeit auszunutzen.

Anzeige

Populärer Angriffspfad für Cyberattacken

Aktuelle, auf der Bedrohungsforschung basierende Erkennungsansätze sind arbeitsintensiv und langsam, da sie auf die Entdeckung bösartiger Kampagnen angewiesen sind, die Shadowed Domains verwenden, bevor sie in verschiedenen Datensätzen nach verwandten Domains suchen können. Um diese Probleme zu lösen, hat Palo Alto Networks eine automatisierte Pipeline entwickelt und implementiert, mit der Shadowed Domains schneller und in großem Umfang für noch nicht bekannte Kampagnen entdeckt werden können.

Das System verarbeitet täglich Terabytes an passiven DNS-Protokollen, um Merkmale über mögliche Shadowing Domains zu extrahieren. Basierend auf diesen Merkmalen verwendet es ein hochpräzises maschinelles Lernmodell, um Schadow-Domain-Namen zu identifizieren. Das Modell findet Hunderte von Shadow Domains, die täglich unter Dutzenden von kompromittierten Domainnamen erstellt werden.

Shadowed Domains entdecken

Um zu verdeutlichen, wie schwierig es ist, Shadowed Domains zu entdecken, haben die Forscher von Palo Alto Networks herausgefunden, dass von den 12.197 Shadowed Domains, die sie zwischen dem 25. April und dem 27. Juni 2022 automatisch entdeckt haben, nur 200 Domains von Anbietern auf VirusTotal als bösartig markiert wurden. Als Beispiel dient ein detaillierter Bericht über eine Phishing-Kampagne, bei der 649 verdeckte Subdomains unter 16 kompromittierten Domains wie bancobpmmavfhxcc.barwonbluff.com[.]au und carriernhoousvz.brisbanegateway[.]com genutzt wurden. Die Täter nutzten den guten Ruf dieser Domain aus, um gefälschte Anmeldeseiten zu verbreiten und Anmeldedaten zu sammeln. Die Leistung des VT-Anbieters ist bei dieser speziellen Kampagne wesentlich besser: 151 der 649 Shadow Domains wurden als gefährlich eingestuft, aber immer noch weniger als ein Viertel aller Domains.

Wie Domain Shadowing funktioniert

Cyberkriminelle nutzen Domain-Namen für verschiedene illegale Zwecke, darunter die Kommunikation mit C2-Servern, die Verbreitung von Malware, Betrug und Phishing. Um diese Aktivitäten zu unterstützen, können Betrüger entweder Domainnamen kaufen (böswillige Registrierung) oder bestehende Domainnamen kompromittieren (DNS-Hijacking/Kompromittierung). Zu den Möglichkeiten der Kriminellen, einen Domainnamen zu kompromittieren, gehören der Diebstahl der Anmeldedaten des Domaininhabers bei der Registrierstelle oder dem DNS-Dienstanbieter, die Kompromittierung der Registrierstelle oder des DNS-Dienstanbieters, die Kompromittierung des DNS-Servers selbst oder die missbräuchliche Verwendung von Dangling-Domains.

Domain Shadowing ist eine Unterkategorie des DNS-Hijacking, bei der Angreifer versuchen, unbemerkt zu bleiben. Zunächst fügen die Cyberkriminellen heimlich Subdomains unter dem kompromittierten Domainnamen ein. Zweitens behalten sie bestehende Einträge bei, um den normalen Betrieb von Diensten wie Websites, E-Mail-Servern und anderen Diensten zu ermöglichen, die die kompromittierte Domain nutzen. Indem sie den ungestörten Betrieb bestehender Dienste sicherstellen, machen die Kriminellen die Kompromittierung für die Domainbesitzer unauffällig und die Bereinigung der bösartigen Einträge unwahrscheinlich. Infolgedessen bietet Domain Shadowing Angreifern Zugang zu praktisch unbegrenzten Subdomains, die den guten Ruf der kompromittierten Domain übernehmen.

Angreifer ändern DNS-Einträge bestehender Domainnamen

Wenn Angreifer die DNS-Einträge bestehender Domainnamen ändern, zielen sie auf die Eigentümer oder Nutzer dieser Domainnamen ab. Kriminelle nutzen jedoch oft Shadow Domains als Teil ihrer Infrastruktur, um Bestrebungen wie allgemeine Phishing-Kampagnen oder Botnet-Operationen zu unterstützen. Im Falle von Phishing können Kriminelle Shadow Domains als Ausgangsdomain in einer Phishing-E-Mail, als Zwischenknoten in einer bösartigen Umleitung (z. B. in einem System zur Verteilung von bösartigem Datenverkehr) oder als Landing Page, die die Phishing-Website hostet, verwenden. Bei Botnet-Operationen kann eine Shadow Domain beispielsweise als Proxy-Domain verwendet werden, um C2-Kommunikation zu verschleiern.

Wie erkennt man Domain Shadowing?

Bei auf Bedrohungsjagd basierenden Ansätzen zur Erkennung von Shadow Domains gibt es Probleme wie z. B. die mangelnde Abdeckung, die Verzögerung bei der Erkennung und die Notwendigkeit menschlicher Arbeit. Deswegen hat Palo Alto Networks eine Erkennungspipeline entwickelt, die passive DNS-Verkehrsprotokolle (pDNS) nutzt. Anhand dieser Merkmale wurde ein maschineller Lernklassifikator trainiert, der den Kern der Erkennungspipeline bildet.

Entwurfsansatz für den maschinellen Lernklassifikator

Die Merkmale lasen sich in drei Gruppen einteilen: diejenigen, die sich auf die potenzielle Shadow Domain selbst beziehen, diejenigen, die sich auf die Root-Domain der potenziellen Shadow Domain beziehen, und diejenigen, die sich auf die IP-Adressen der potenziellen Shadow Domain beziehen.

Die erste Gruppe ist spezifisch für die Shadow Domain selbst. Beispiele für diese Merkmale auf FQDN-Ebene sind:

  • Abweichung der IP-Adresse von der IP-Adresse der Root-Domain (und ihres Landes/autonomen Systems).
  • Unterschied im Datum des ersten Besuchs im Vergleich zum Datum des ersten Besuchs der Root-Domain.
  • Ob die Subdomain populär ist.

Die zweite Merkmalsgruppe beschreibt die Root-Domain des Kandidaten für die Shadow Domain. Beispiele hierfür sind:

  • Das Verhältnis von populären zu allen Subdomains der Root-Domain.
  • Die durchschnittliche IP-Abweichung der Subdomains.
  • Die durchschnittliche Anzahl der Tage, an denen die Subdomains aktiv sind.

Die dritte Gruppe von Merkmalen bezieht sich auf die IP-Adressen des Kandidaten für die Shadow Domain, zum Beispiel:

  • Das Verhältnis von Apex-Domain zu FQDN auf der IP.
  • Die durchschnittliche IP-Länderabweichung der Subdomains, die diese IP verwenden.

Schlussfolgerung

Cyberkriminelle nutzen Shadow Domains für verschiedene illegale Aktivitäten, einschließlich Phishing und Botnet-Operationen. Es ist schwierig, Shadow Domains zu erkennen, da die Anbieter auf VirusTotal weniger als zwei Prozent dieser Domains abdecken. Da herkömmliche, auf Bedrohungsforschung basierende Ansätze zu langsam sind und die Mehrheit der Shadow Domains nicht aufdecken, empfiehlt sich ein automatisches Erkennungssystem, das auf pDNS-Daten basiert. Ein hochpräziser, auf maschinellem Lernen basierender Detektor verarbeitet dabei dazu Terabytes von DNS-Protokollen und entdeckt täglich Hunderte von Shadowing-Domains.

Mehr bei PaloAltoNetworks.com

 


Über Palo Alto Networks

Palo Alto Networks, der weltweit führende Anbieter von Cybersicherheitslösungen, gestaltet die cloudbasierte Zukunft mit Technologien, die die Arbeitsweise von Menschen und Unternehmen verändern. Unsere Mission ist es, der bevorzugte Cybersicherheitspartner zu sein und unsere digitale Lebensweise zu schützen. Wir helfen Ihnen, die größten Sicherheitsherausforderungen der Welt mit kontinuierlichen Innovationen anzugehen, die die neuesten Durchbrüche in den Bereichen künstliche Intelligenz, Analytik, Automatisierung und Orchestrierung nutzen. Durch die Bereitstellung einer integrierten Plattform und die Stärkung eines wachsenden Ökosystems von Partnern sind wir führend beim Schutz von Zehntausenden von Unternehmen über Clouds, Netzwerke und mobile Geräte hinweg. Unsere Vision ist eine Welt, in der jeder Tag sicherer ist als der vorherige.


 

Passende Artikel zum Thema

Fünf lokale Schwachstellen in needrestart entdeckt

Ein Anbieter von Cloud-basierten IT-, Sicherheits- und Compliance-Lösungen, gab bekannt, dass die Qualys Threat Research Unit (TRU) fünf Local Privilege ➡ Weiterlesen

RAG: Innovative KI-Technologien bringen Gefahren mit sich

Seit der Einführung von ChatGPT 2022 wollen immer mehr Unternehmen KI-Technologien nutzen – oft mit spezifischen Anforderungen. Retrieval Augmented Generation ➡ Weiterlesen

2025: Wer will IT-Security-Verantwortlicher sein?

Wie jedes Jahr haben die IT-Security-Spezialisten von WatchGuard Technologies auch Ende 2024 einen Blick in die Zukunft gewagt und ihre ➡ Weiterlesen

Active-Directory-Sicherung und -Wiederherstellung

Ransomware-Bedrohungen oder auch aktive Angriffe sind für Unternehmen längst Bestandteil ihres Alltags. Viele Attacken auf Identity-Systeme und allen voran Active ➡ Weiterlesen

Neue Gefahren durch Ransomware-Gruppe RansomHub

Ein Anbieter einer KI-gestützten, Cloud-basierten Cyber-Sicherheitsplattform hat einen Bericht zu Ransomware-Aktivitäten und -Trends aus dem vergangenen Monat September 2024 veröffentlicht. ➡ Weiterlesen

Cybersecurity-Trends 2025

Die Cybersecurity befindet sich derzeit in einem dramatischen Wandel. Während Cyberkriminelle zunehmend KI-gestützte Angriffsmethoden entwickeln und ihre Taktiken verfeinern, stehen ➡ Weiterlesen

Disaster-Recovery-as-a-Service – DRaaS-Lösung

Investitionen in DRaaS (Disaster-Recovery-as-a-Service) sind sinnvoll und zukunftsweisend, denn DRaaS hilft den Unternehmen, ihre IT-Systeme und Daten im Fall eines ➡ Weiterlesen

Digitale Zertifikate mit verkürzter Lebensdauer

Apple hat sich nun Google angeschlossen und drängt auf eine kürzere Lebensdauer von Zertifikaten, um die Online-Sicherheit zu verbessern. Indem ➡ Weiterlesen

  • Checkliste
  • Button-Adresse angepasst und Beschriftung
  • Kategorie gewählt – bei Partner plus Partner-Firmenname als 2.
  • Bild eingebaut oder B2B-Standard-Thumb
  • Überschrift bei neuem Bild als Beschreibung & Alternativtext
  • Schlagwörter – 4 bis 6 aus dem Text, Start mit Firmenname (Sophos, IT-Sicherheit, Attacke….)
  • Anzeigeneinstellungen: nur bei Partner beide Kästchen anklicken -> ist dann aus
  • Weiter im Kasten Yoast SEO
  •  Vorspann in Meta-Beschreibung rein und kürzen
  • Fokus Keyphrase festlegen – muss in Überschrift und Vorspann dabei sein
  • Premium-SEO-Analyse aufklappen ob die Güte von Orange leicht auf Grün gebracht werden kann