Domain Shadowing – DNS-Kompromittierung für Cyberkriminalität

2. Dezember 2022
| Keine Kommentare
Domain Shadowing - DNS-Kompromittierung für Cyberkriminalität

Beitrag teilen

Cyberkriminelle kompromittieren Domainnamen, um die Eigentümer oder Benutzer der Domain direkt anzugreifen oder sie für verschiedene ruchlose Unternehmungen wie Phishing, Malware-Verteilung und Command-and-Control-Operationen (C2) zu nutzen. Ein spezieller Fall von DNS-Hijacking ist das so genannte Domain Shadowing , bei dem Angreifer heimlich bösartige Subdomains unter kompromittierten Domainnamen erstellen. 

Shadow Domains haben keinen Einfluss auf den normalen Betrieb der kompromittierten Domains, so dass sie von den Opfern nur schwer entdeckt werden können. Die Unauffälligkeit dieser Subdomain ermöglicht es den Tätern oft, den guten Ruf der kompromittierten Domain über lange Zeit auszunutzen.

Populärer Angriffspfad für Cyberattacken

Aktuelle, auf der Bedrohungsforschung basierende Erkennungsansätze sind arbeitsintensiv und langsam, da sie auf die Entdeckung bösartiger Kampagnen angewiesen sind, die Shadowed Domains verwenden, bevor sie in verschiedenen Datensätzen nach verwandten Domains suchen können. Um diese Probleme zu lösen, hat Palo Alto Networks eine automatisierte Pipeline entwickelt und implementiert, mit der Shadowed Domains schneller und in großem Umfang für noch nicht bekannte Kampagnen entdeckt werden können.

Das System verarbeitet täglich Terabytes an passiven DNS-Protokollen, um Merkmale über mögliche Shadowing Domains zu extrahieren. Basierend auf diesen Merkmalen verwendet es ein hochpräzises maschinelles Lernmodell, um Schadow-Domain-Namen zu identifizieren. Das Modell findet Hunderte von Shadow Domains, die täglich unter Dutzenden von kompromittierten Domainnamen erstellt werden.

Shadowed Domains entdecken

Um zu verdeutlichen, wie schwierig es ist, Shadowed Domains zu entdecken, haben die Forscher von Palo Alto Networks herausgefunden, dass von den 12.197 Shadowed Domains, die sie zwischen dem 25. April und dem 27. Juni 2022 automatisch entdeckt haben, nur 200 Domains von Anbietern auf VirusTotal als bösartig markiert wurden. Als Beispiel dient ein detaillierter Bericht über eine Phishing-Kampagne, bei der 649 verdeckte Subdomains unter 16 kompromittierten Domains wie bancobpmmavfhxcc.barwonbluff.com[.]au und carriernhoousvz.brisbanegateway[.]com genutzt wurden. Die Täter nutzten den guten Ruf dieser Domain aus, um gefälschte Anmeldeseiten zu verbreiten und Anmeldedaten zu sammeln. Die Leistung des VT-Anbieters ist bei dieser speziellen Kampagne wesentlich besser: 151 der 649 Shadow Domains wurden als gefährlich eingestuft, aber immer noch weniger als ein Viertel aller Domains.

Wie Domain Shadowing funktioniert

Cyberkriminelle nutzen Domain-Namen für verschiedene illegale Zwecke, darunter die Kommunikation mit C2-Servern, die Verbreitung von Malware, Betrug und Phishing. Um diese Aktivitäten zu unterstützen, können Betrüger entweder Domainnamen kaufen (böswillige Registrierung) oder bestehende Domainnamen kompromittieren (DNS-Hijacking/Kompromittierung). Zu den Möglichkeiten der Kriminellen, einen Domainnamen zu kompromittieren, gehören der Diebstahl der Anmeldedaten des Domaininhabers bei der Registrierstelle oder dem DNS-Dienstanbieter, die Kompromittierung der Registrierstelle oder des DNS-Dienstanbieters, die Kompromittierung des DNS-Servers selbst oder die missbräuchliche Verwendung von Dangling-Domains.

Domain Shadowing ist eine Unterkategorie des DNS-Hijacking, bei der Angreifer versuchen, unbemerkt zu bleiben. Zunächst fügen die Cyberkriminellen heimlich Subdomains unter dem kompromittierten Domainnamen ein. Zweitens behalten sie bestehende Einträge bei, um den normalen Betrieb von Diensten wie Websites, E-Mail-Servern und anderen Diensten zu ermöglichen, die die kompromittierte Domain nutzen. Indem sie den ungestörten Betrieb bestehender Dienste sicherstellen, machen die Kriminellen die Kompromittierung für die Domainbesitzer unauffällig und die Bereinigung der bösartigen Einträge unwahrscheinlich. Infolgedessen bietet Domain Shadowing Angreifern Zugang zu praktisch unbegrenzten Subdomains, die den guten Ruf der kompromittierten Domain übernehmen.

Angreifer ändern DNS-Einträge bestehender Domainnamen

Wenn Angreifer die DNS-Einträge bestehender Domainnamen ändern, zielen sie auf die Eigentümer oder Nutzer dieser Domainnamen ab. Kriminelle nutzen jedoch oft Shadow Domains als Teil ihrer Infrastruktur, um Bestrebungen wie allgemeine Phishing-Kampagnen oder Botnet-Operationen zu unterstützen. Im Falle von Phishing können Kriminelle Shadow Domains als Ausgangsdomain in einer Phishing-E-Mail, als Zwischenknoten in einer bösartigen Umleitung (z. B. in einem System zur Verteilung von bösartigem Datenverkehr) oder als Landing Page, die die Phishing-Website hostet, verwenden. Bei Botnet-Operationen kann eine Shadow Domain beispielsweise als Proxy-Domain verwendet werden, um C2-Kommunikation zu verschleiern.

Wie erkennt man Domain Shadowing?

Bei auf Bedrohungsjagd basierenden Ansätzen zur Erkennung von Shadow Domains gibt es Probleme wie z. B. die mangelnde Abdeckung, die Verzögerung bei der Erkennung und die Notwendigkeit menschlicher Arbeit. Deswegen hat Palo Alto Networks eine Erkennungspipeline entwickelt, die passive DNS-Verkehrsprotokolle (pDNS) nutzt. Anhand dieser Merkmale wurde ein maschineller Lernklassifikator trainiert, der den Kern der Erkennungspipeline bildet.

Entwurfsansatz für den maschinellen Lernklassifikator

Die Merkmale lasen sich in drei Gruppen einteilen: diejenigen, die sich auf die potenzielle Shadow Domain selbst beziehen, diejenigen, die sich auf die Root-Domain der potenziellen Shadow Domain beziehen, und diejenigen, die sich auf die IP-Adressen der potenziellen Shadow Domain beziehen.

Die erste Gruppe ist spezifisch für die Shadow Domain selbst. Beispiele für diese Merkmale auf FQDN-Ebene sind:

  • Abweichung der IP-Adresse von der IP-Adresse der Root-Domain (und ihres Landes/autonomen Systems).
  • Unterschied im Datum des ersten Besuchs im Vergleich zum Datum des ersten Besuchs der Root-Domain.
  • Ob die Subdomain populär ist.

Die zweite Merkmalsgruppe beschreibt die Root-Domain des Kandidaten für die Shadow Domain. Beispiele hierfür sind:

  • Das Verhältnis von populären zu allen Subdomains der Root-Domain.
  • Die durchschnittliche IP-Abweichung der Subdomains.
  • Die durchschnittliche Anzahl der Tage, an denen die Subdomains aktiv sind.

Die dritte Gruppe von Merkmalen bezieht sich auf die IP-Adressen des Kandidaten für die Shadow Domain, zum Beispiel:

  • Das Verhältnis von Apex-Domain zu FQDN auf der IP.
  • Die durchschnittliche IP-Länderabweichung der Subdomains, die diese IP verwenden.

Schlussfolgerung

Cyberkriminelle nutzen Shadow Domains für verschiedene illegale Aktivitäten, einschließlich Phishing und Botnet-Operationen. Es ist schwierig, Shadow Domains zu erkennen, da die Anbieter auf VirusTotal weniger als zwei Prozent dieser Domains abdecken. Da herkömmliche, auf Bedrohungsforschung basierende Ansätze zu langsam sind und die Mehrheit der Shadow Domains nicht aufdecken, empfiehlt sich ein automatisches Erkennungssystem, das auf pDNS-Daten basiert. Ein hochpräziser, auf maschinellem Lernen basierender Detektor verarbeitet dabei dazu Terabytes von DNS-Protokollen und entdeckt täglich Hunderte von Shadowing-Domains.

Mehr bei PaloAltoNetworks.com

 

Über Palo Alto Networks

Palo Alto Networks, der weltweit führende Anbieter von Cybersicherheitslösungen, gestaltet die cloudbasierte Zukunft mit Technologien, die die Arbeitsweise von Menschen und Unternehmen verändern. Unsere Mission ist es, der bevorzugte Cybersicherheitspartner zu sein und unsere digitale Lebensweise zu schützen. Wir helfen Ihnen, die größten Sicherheitsherausforderungen der Welt mit kontinuierlichen Innovationen anzugehen, die die neuesten Durchbrüche in den Bereichen künstliche Intelligenz, Analytik, Automatisierung und Orchestrierung nutzen. Durch die Bereitstellung einer integrierten Plattform und die Stärkung eines wachsenden Ökosystems von Partnern sind wir führend beim Schutz von Zehntausenden von Unternehmen über Clouds, Netzwerke und mobile Geräte hinweg. Unsere Vision ist eine Welt, in der jeder Tag sicherer ist als der vorherige.

 

Passende Artikel zum Thema

Bedrohungen durch Insider entgegenwirken

IT-verantwortlich zu sein, ist derzeit nicht der leichteste Beruf. Wenn neben der stetigen Warnung vor externen Angriffen und dem Gebot ➡ Weiterlesen

Phishing-Studie: Mitarbeiter gehen viel zu hohes Risiko 

Knapp zwei Drittel der Mitarbeiter in Deutschland (64 %, weltweit 68 %) setzen ihr Unternehmen wissentlich Risiken aus, die zu ➡ Weiterlesen

Risiken durch steigende Nutzung von künstlicher Intelligenz

Ein Report verdeutlicht, dass 569 TByte an Unternehmensdaten an KI-Tools weitergegeben werden, und unterstreicht die Relevanz besserer Datensicherheit. KI/ML-Transaktionen in ➡ Weiterlesen

Kryptografie und Quantencomputing

Kryptografie ist seit geraumer Zeit eines der besten Mittel, um digitale Informationen vor unberechtigtem Zugriff zu schützen – beispielsweise, um ➡ Weiterlesen

Zustandsbericht über die OT-Sicherheit

Eine aktuelle Erhebung unter Industrieunternehmen weltweit – darunter auch Deutschland – zeichnet ein besorgniserregendes Bild über den Stand der OT-Sicherheit ➡ Weiterlesen

KMU im Visier: Cyberangriffe auf Lieferketten

Partnerschaften, Dienstleistungen, Kundenbeziehungen – keine Organisation agiert autark. Verträge, Compliances und Gesetze regeln die Zusammenarbeit, doch wie steht es um ➡ Weiterlesen

Ursachen für Datenverluste in deutschen Unternehmen

Datenverlust ist ein Problem, das im Zusammenspiel zwischen Menschen und Maschinen auftritt: „Unvorsichtige Benutzer“ sind mit viel größerer Wahrscheinlichkeit die ➡ Weiterlesen

Warum Cyberkriminelle extra auf Backups zielen

Es gibt im Wesentlichen zwei Möglichkeiten, verschlüsselte Daten nach einem Ransomware-Angriff wiederherzustellen: die Wiederherstellung aus Backups und die Zahlung des ➡ Weiterlesen

  • Checkliste
  • Button-Adresse angepasst und Beschriftung
  • Kategorie gewählt – bei Partner plus Partner-Firmenname als 2.
  • Bild eingebaut oder B2B-Standard-Thumb
  • Überschrift bei neuem Bild als Beschreibung & Alternativtext
  • Schlagwörter – 4 bis 6 aus dem Text, Start mit Firmenname (Sophos, IT-Sicherheit, Attacke….)
  • Anzeigeneinstellungen: nur bei Partner beide Kästchen anklicken -> ist dann aus
  • Weiter im Kasten Yoast SEO
  •  Vorspann in Meta-Beschreibung rein und kürzen
  • Fokus Keyphrase festlegen – muss in Überschrift und Vorspann dabei sein
  • Premium-SEO-Analyse aufklappen ob die Güte von Orange leicht auf Grün gebracht werden kann

 

 

Storys
, , , ,