Domain Shadowing – DNS-Kompromittierung für Cyberkriminalität

Domain Shadowing - DNS-Kompromittierung für Cyberkriminalität

Beitrag teilen

Cyberkriminelle kompromittieren Domainnamen, um die Eigentümer oder Benutzer der Domain direkt anzugreifen oder sie für verschiedene ruchlose Unternehmungen wie Phishing, Malware-Verteilung und Command-and-Control-Operationen (C2) zu nutzen. Ein spezieller Fall von DNS-Hijacking ist das so genannte Domain Shadowing , bei dem Angreifer heimlich bösartige Subdomains unter kompromittierten Domainnamen erstellen. 

Shadow Domains haben keinen Einfluss auf den normalen Betrieb der kompromittierten Domains, so dass sie von den Opfern nur schwer entdeckt werden können. Die Unauffälligkeit dieser Subdomain ermöglicht es den Tätern oft, den guten Ruf der kompromittierten Domain über lange Zeit auszunutzen.

Populärer Angriffspfad für Cyberattacken

Aktuelle, auf der Bedrohungsforschung basierende Erkennungsansätze sind arbeitsintensiv und langsam, da sie auf die Entdeckung bösartiger Kampagnen angewiesen sind, die Shadowed Domains verwenden, bevor sie in verschiedenen Datensätzen nach verwandten Domains suchen können. Um diese Probleme zu lösen, hat Palo Alto Networks eine automatisierte Pipeline entwickelt und implementiert, mit der Shadowed Domains schneller und in großem Umfang für noch nicht bekannte Kampagnen entdeckt werden können.

Das System verarbeitet täglich Terabytes an passiven DNS-Protokollen, um Merkmale über mögliche Shadowing Domains zu extrahieren. Basierend auf diesen Merkmalen verwendet es ein hochpräzises maschinelles Lernmodell, um Schadow-Domain-Namen zu identifizieren. Das Modell findet Hunderte von Shadow Domains, die täglich unter Dutzenden von kompromittierten Domainnamen erstellt werden.

Shadowed Domains entdecken

Um zu verdeutlichen, wie schwierig es ist, Shadowed Domains zu entdecken, haben die Forscher von Palo Alto Networks herausgefunden, dass von den 12.197 Shadowed Domains, die sie zwischen dem 25. April und dem 27. Juni 2022 automatisch entdeckt haben, nur 200 Domains von Anbietern auf VirusTotal als bösartig markiert wurden. Als Beispiel dient ein detaillierter Bericht über eine Phishing-Kampagne, bei der 649 verdeckte Subdomains unter 16 kompromittierten Domains wie bancobpmmavfhxcc.barwonbluff.com[.]au und carriernhoousvz.brisbanegateway[.]com genutzt wurden. Die Täter nutzten den guten Ruf dieser Domain aus, um gefälschte Anmeldeseiten zu verbreiten und Anmeldedaten zu sammeln. Die Leistung des VT-Anbieters ist bei dieser speziellen Kampagne wesentlich besser: 151 der 649 Shadow Domains wurden als gefährlich eingestuft, aber immer noch weniger als ein Viertel aller Domains.

Wie Domain Shadowing funktioniert

Cyberkriminelle nutzen Domain-Namen für verschiedene illegale Zwecke, darunter die Kommunikation mit C2-Servern, die Verbreitung von Malware, Betrug und Phishing. Um diese Aktivitäten zu unterstützen, können Betrüger entweder Domainnamen kaufen (böswillige Registrierung) oder bestehende Domainnamen kompromittieren (DNS-Hijacking/Kompromittierung). Zu den Möglichkeiten der Kriminellen, einen Domainnamen zu kompromittieren, gehören der Diebstahl der Anmeldedaten des Domaininhabers bei der Registrierstelle oder dem DNS-Dienstanbieter, die Kompromittierung der Registrierstelle oder des DNS-Dienstanbieters, die Kompromittierung des DNS-Servers selbst oder die missbräuchliche Verwendung von Dangling-Domains.

Domain Shadowing ist eine Unterkategorie des DNS-Hijacking, bei der Angreifer versuchen, unbemerkt zu bleiben. Zunächst fügen die Cyberkriminellen heimlich Subdomains unter dem kompromittierten Domainnamen ein. Zweitens behalten sie bestehende Einträge bei, um den normalen Betrieb von Diensten wie Websites, E-Mail-Servern und anderen Diensten zu ermöglichen, die die kompromittierte Domain nutzen. Indem sie den ungestörten Betrieb bestehender Dienste sicherstellen, machen die Kriminellen die Kompromittierung für die Domainbesitzer unauffällig und die Bereinigung der bösartigen Einträge unwahrscheinlich. Infolgedessen bietet Domain Shadowing Angreifern Zugang zu praktisch unbegrenzten Subdomains, die den guten Ruf der kompromittierten Domain übernehmen.

Angreifer ändern DNS-Einträge bestehender Domainnamen

Wenn Angreifer die DNS-Einträge bestehender Domainnamen ändern, zielen sie auf die Eigentümer oder Nutzer dieser Domainnamen ab. Kriminelle nutzen jedoch oft Shadow Domains als Teil ihrer Infrastruktur, um Bestrebungen wie allgemeine Phishing-Kampagnen oder Botnet-Operationen zu unterstützen. Im Falle von Phishing können Kriminelle Shadow Domains als Ausgangsdomain in einer Phishing-E-Mail, als Zwischenknoten in einer bösartigen Umleitung (z. B. in einem System zur Verteilung von bösartigem Datenverkehr) oder als Landing Page, die die Phishing-Website hostet, verwenden. Bei Botnet-Operationen kann eine Shadow Domain beispielsweise als Proxy-Domain verwendet werden, um C2-Kommunikation zu verschleiern.

Wie erkennt man Domain Shadowing?

Bei auf Bedrohungsjagd basierenden Ansätzen zur Erkennung von Shadow Domains gibt es Probleme wie z. B. die mangelnde Abdeckung, die Verzögerung bei der Erkennung und die Notwendigkeit menschlicher Arbeit. Deswegen hat Palo Alto Networks eine Erkennungspipeline entwickelt, die passive DNS-Verkehrsprotokolle (pDNS) nutzt. Anhand dieser Merkmale wurde ein maschineller Lernklassifikator trainiert, der den Kern der Erkennungspipeline bildet.

Entwurfsansatz für den maschinellen Lernklassifikator

Die Merkmale lasen sich in drei Gruppen einteilen: diejenigen, die sich auf die potenzielle Shadow Domain selbst beziehen, diejenigen, die sich auf die Root-Domain der potenziellen Shadow Domain beziehen, und diejenigen, die sich auf die IP-Adressen der potenziellen Shadow Domain beziehen.

Die erste Gruppe ist spezifisch für die Shadow Domain selbst. Beispiele für diese Merkmale auf FQDN-Ebene sind:

  • Abweichung der IP-Adresse von der IP-Adresse der Root-Domain (und ihres Landes/autonomen Systems).
  • Unterschied im Datum des ersten Besuchs im Vergleich zum Datum des ersten Besuchs der Root-Domain.
  • Ob die Subdomain populär ist.

Die zweite Merkmalsgruppe beschreibt die Root-Domain des Kandidaten für die Shadow Domain. Beispiele hierfür sind:

  • Das Verhältnis von populären zu allen Subdomains der Root-Domain.
  • Die durchschnittliche IP-Abweichung der Subdomains.
  • Die durchschnittliche Anzahl der Tage, an denen die Subdomains aktiv sind.

Die dritte Gruppe von Merkmalen bezieht sich auf die IP-Adressen des Kandidaten für die Shadow Domain, zum Beispiel:

  • Das Verhältnis von Apex-Domain zu FQDN auf der IP.
  • Die durchschnittliche IP-Länderabweichung der Subdomains, die diese IP verwenden.

Schlussfolgerung

Cyberkriminelle nutzen Shadow Domains für verschiedene illegale Aktivitäten, einschließlich Phishing und Botnet-Operationen. Es ist schwierig, Shadow Domains zu erkennen, da die Anbieter auf VirusTotal weniger als zwei Prozent dieser Domains abdecken. Da herkömmliche, auf Bedrohungsforschung basierende Ansätze zu langsam sind und die Mehrheit der Shadow Domains nicht aufdecken, empfiehlt sich ein automatisches Erkennungssystem, das auf pDNS-Daten basiert. Ein hochpräziser, auf maschinellem Lernen basierender Detektor verarbeitet dabei dazu Terabytes von DNS-Protokollen und entdeckt täglich Hunderte von Shadowing-Domains.

Mehr bei PaloAltoNetworks.com

 


Über Palo Alto Networks

Palo Alto Networks, der weltweit führende Anbieter von Cybersicherheitslösungen, gestaltet die cloudbasierte Zukunft mit Technologien, die die Arbeitsweise von Menschen und Unternehmen verändern. Unsere Mission ist es, der bevorzugte Cybersicherheitspartner zu sein und unsere digitale Lebensweise zu schützen. Wir helfen Ihnen, die größten Sicherheitsherausforderungen der Welt mit kontinuierlichen Innovationen anzugehen, die die neuesten Durchbrüche in den Bereichen künstliche Intelligenz, Analytik, Automatisierung und Orchestrierung nutzen. Durch die Bereitstellung einer integrierten Plattform und die Stärkung eines wachsenden Ökosystems von Partnern sind wir führend beim Schutz von Zehntausenden von Unternehmen über Clouds, Netzwerke und mobile Geräte hinweg. Unsere Vision ist eine Welt, in der jeder Tag sicherer ist als der vorherige.


 

Passende Artikel zum Thema

NIS2-Direktive: 6 Tipps zur Umsetzung in Unternehmen

Die EU-NIS2-Direktive verpflichtet bald viele Unternehmen dazu, höhere Cybersicherheitsstandards zu erfüllen - im Oktober 2024 soll das Gesetz schon fertig ➡ Weiterlesen

Cybersecurity: Mangelnde Abstimmung zwischen CEOs und CISOs

87 Prozent der befragten CISOs gaben im Dynatrace CISO-Report 2024 an, dass CEOs für Anwendersicherheit blind seien. 70 Prozent der ➡ Weiterlesen

Cyberversicherungen: Was hilft gegen steigende Kosten?

Cyberversicherungen sichern Unternehmen finanziell bei Cyberangriffen ab. Mit der Zunahme der Bedrohungslage erhöhen die Versicherungen die Kosten für Jahresprämien. Unternehmen, ➡ Weiterlesen

IT-Sicherheit: Mangelnde Kenntnisse in deutschen Unternehmen

Rund 25 Prozent aller Geschäftsleitungen wissen zu wenig über IT-Sicherheit und 42 Prozent der Arbeitnehmenden informieren sich nicht regelmäßig über ➡ Weiterlesen

Unternehmen entdecken Cyberangreifer schneller

Cyberangreifer nutzen bevorzugt Zero-Day-Schwachstellen aus, so der M-Trends Report 2024. Die durchschnittliche Verweildauer bis zu ihrer Entdeckung ist aber deutlich ➡ Weiterlesen

Überwachung dank Abschnitt 702

Das in den USA verabschiedete Gesetz zur Wiederzulassung von Abschnitt 702 bewirkt eine erhebliche Ausweitung der inländischen Überwachung, die die ➡ Weiterlesen

Phishing-Angriffe: Weltweite Zunahme um 60 Prozent

2023 war die Finanzbranche am häufigsten von Phishing-Angriffen betroffen. Kriminelle nutzen für Voice-Phishing (Vishing) und Deepfake-Phishing zunehmend generative KI um ➡ Weiterlesen

Ransomware: der Hauptbedrohungstrend 2023

Im Jahr 2023 wurde die Bedrohungslandschaft von Big-Game-Ransomware und Zero-Day-Ransomware geprägt. Auch Mac-Systeme geraten zunehmend ins Visier der Angreifer, so ➡ Weiterlesen

  • Checkliste
  • Button-Adresse angepasst und Beschriftung
  • Kategorie gewählt – bei Partner plus Partner-Firmenname als 2.
  • Bild eingebaut oder B2B-Standard-Thumb
  • Überschrift bei neuem Bild als Beschreibung & Alternativtext
  • Schlagwörter – 4 bis 6 aus dem Text, Start mit Firmenname (Sophos, IT-Sicherheit, Attacke….)
  • Anzeigeneinstellungen: nur bei Partner beide Kästchen anklicken -> ist dann aus
  • Weiter im Kasten Yoast SEO
  •  Vorspann in Meta-Beschreibung rein und kürzen
  • Fokus Keyphrase festlegen – muss in Überschrift und Vorspann dabei sein
  • Premium-SEO-Analyse aufklappen ob die Güte von Orange leicht auf Grün gebracht werden kann