Meldung

Aus dem Hinterhalt

Cyberkriminelle kompromittieren Domainnamen, um die Eigentümer oder Benutzer der Domain anzugreifen oder sie für Unternehmungen wie Phishing, Malware-Verteilung und Command-and-Control-Operationen zu nutzen. Ein spezieller Fall von DNS-Hijacking ist das sogenannte Domain Shadowing, bei dem Angreifer heimlich bösartige Subdomains unter kompromittierten Domainnamen erstellen.
Über Shadowed Domains können Angreifer meist ungestört kommunizieren, etwa bei C2-Verkehr.
Aktuelle, auf der Bedrohungsforschung basierende Erkennungsansätze sind arbeitsintensiv und langsam, da sie auf die Entdeckung bösartiger Kampagnen angewiesen sind, die Shadowed Domains verwenden, bevor sie in verschiedenen Datensätzen nach verwandten Domains suchen können. Um diese Probleme zu lösen, hat Palo Alto Networks [1] eine automatisierte Pipeline entwickelt und implementiert, mit der Shadowed Domains schneller und in großem Umfang für noch nicht bekannte Kampagnen entdeckt werden können.

Das System verarbeitet täglich TByte an passiven DNS-Protokollen, um Merkmale über mögliche Shadowing Domains zu extrahieren. Basierend auf diesen Merkmalen verwendet es ein hochpräzises maschinelles Lernmodell, um Schadow-Domain-Namen zu identifizieren. Das Modell findet Hunderte von Shadow Domains, die täglich unter Dutzenden von kompromittierten Domainnamen erstellt werden.

Um zu verdeutlichen, wie schwierig es ist, Shadowed Domains zu entdecken, haben die Forscher von Palo Alto Networks herausgefunden, dass von den 12.197 Shadowed Domains, die sie zwischen dem 25. April und dem 27. Juni 2022 automatisch entdeckt haben, nur 200 Domains von Anbietern auf VirusTotal als bösartig markiert wurden. Als Beispiel dient ein detaillierter Bericht über eine Phishing-Kampagne, bei der 649 verdeckte Subdomains unter 16 kompromittierten Domains wie "bancobpmmavfhxcc.barwonbluff.com[.]au" und "carriernhoousvz.brisbanegateway[.]com" genutzt wurden.

Die Täter nutzten den guten Ruf dieser Domain aus, um gefälschte Anmeldeseiten zu verbreiten und Anmeldedaten zu sammeln. Die Leistung des VT-Anbieters ist bei dieser speziellen Kampagne wesentlich besser: 151 der 649 Shadow Domains wurden als gefährlich eingestuft, aber immer noch weniger als ein Viertel aller Domains.

Wie Domain Shadowing funktioniert
Cyberkriminelle nutzen Domain-Namen für verschiedene illegale Zwecke, darunter die Kommunikation mit C2-Servern, die Verbreitung von Malware, Betrug und Phishing. Um diese Aktivitäten zu unterstützen, können Betrüger entweder Domainnamen kaufen (böswillige Registrierung) oder bestehende Domainnamen kompromittieren (DNS-Hijacking/Kompromittierung). Zu den Möglichkeiten der Kriminellen, einen Domainnamen zu kompromittieren, gehören der Diebstahl der Anmeldedaten des Domaininhabers bei der Registrierstelle oder dem DNS-Dienstanbieter, die Kompromittierung der Registrierstelle oder des DNS-Dienstanbieters, die Kompromittierung des DNS-Servers selbst oder die missbräuchliche Verwendung von Dangling-Domains.

Domain Shadowing ist eine Unterkategorie des DNS-Hijacking, bei der Angreifer versuchen, unbemerkt zu bleiben. Zunächst fügen die Cyberkriminellen heimlich Subdomains unter dem kompromittierten Domainnamen ein. Zweitens behalten sie bestehende Einträge bei, um den normalen Betrieb von Diensten wie Websites, E-Mail-Servern und anderen Diensten zu ermöglichen, die die kompromittierte Domain nutzen. Indem sie den ungestörten Betrieb bestehender Dienste sicherstellen, machen die Kriminellen die Kompromittierung für die Domainbesitzer unauffällig und die Bereinigung der bösartigen Einträge unwahrscheinlich. Infolgedessen bietet Domain Shadowing Angreifern Zugang zu praktisch unbegrenzten Subdomains, die den guten Ruf der kompromittierten Domain übernehmen.

Wenn Angreifer die DNS-Einträge bestehender Domainnamen ändern, zielen sie auf die Eigentümer oder Nutzer dieser Domainnamen ab. Kriminelle nutzen jedoch oft Shadow Domains als Teil ihrer Infrastruktur, um Bestrebungen wie allgemeine Phishing-Kampagnen oder Botnet-Operationen zu unterstützen. Im Falle von Phishing können Kriminelle Shadow Domains als Ausgangsdomain in einer Phishing-E-Mail, als Zwischenknoten in einer bösartigen Umleitung (zum Beispiel in einem System zur Verteilung von bösartigem Datenverkehr) oder als Landing Page, die die Phishing-Website hostet, verwenden. Bei Botnet-Operationen kann eine Shadow Domain beispielsweise als Proxy-Domain verwendet werden, um C2-Kommunikation zu verschleiern.

Wie lässt sich Domain Shadowing erkennen?
Bei auf Bedrohungsjagd basierenden Ansätzen zur Erkennung von Shadow Domains gibt es Probleme wie etwa die mangelnde Abdeckung, die Verzögerung bei der Erkennung und die Notwendigkeit menschlicher Arbeit. Deswegen hat Palo Alto Networks eine Erkennungspipeline entwickelt, die passive DNS-Verkehrsprotokolle (pDNS) nutzt. Anhand dieser Merkmale wurde ein maschineller Lernklassifikator trainiert, der den Kern der Erkennungspipeline bildet.

Die Merkmale lasen sich in drei Gruppen einteilen: diejenigen, die sich auf die potenzielle Shadow Domain selbst beziehen, diejenigen, die sich auf die Root-Domain der potenziellen Shadow Domain beziehen, und diejenigen, die sich auf die IP-Adressen der potenziellen Shadow Domain beziehen.

Die erste Gruppe ist spezifisch für die Shadow Domain selbst. Beispiele für diese Merkmale auf FQDN-Ebene sind:
  • Abweichung der IP-Adresse von der IP-Adresse der Root-Domain (und ihres Landes/autonomen Systems).
  • Unterschied im Datum des ersten Besuchs im Vergleich zum Datum des ersten Besuchs der Root-Domain.
  • Ob die Subdomain populär ist.

Die zweite Merkmalsgruppe beschreibt die Root-Domain des Kandidaten für die Shadow Domain. Beispiele hierfür sind:
  • Das Verhältnis von populären zu allen Subdomains der Root-Domain.
  • Die durchschnittliche IP-Abweichung der Subdomains.
  • Die durchschnittliche Anzahl der Tage, an denen die Subdomains aktiv sind.

Die dritte Gruppe von Merkmalen bezieht sich auf die IP-Adressen des Kandidaten für die Shadow Domain, zum Beispiel das Verhältnis von Apex-Domain zu FQDN auf der IP-Adresse sowie die durchschnittliche IP-Länderabweichung der Subdomains, die diese IP-Adresse verwenden.

Fazit
Cyberkriminelle nutzen Shadow Domains für verschiedene illegale Aktivitäten, einschließlich Phishing und Botnet-Operationen. Es ist schwierig, Shadow Domains zu erkennen, da die Anbieter auf VirusTotal weniger als zwei Prozent dieser Domains abdecken. Da herkömmliche, auf Bedrohungsforschung basierende Ansätze zu langsam sind und die Mehrheit der Shadow Domains nicht aufdecken, empfiehlt sich ein automatisches Erkennungssystem, das auf pDNS-Daten basiert. Ein hochpräziser, auf maschinellem Lernen basierender Detektor verarbeitet dabei dazu TByte von DNS-Protokollen und entdeckt täglich Hunderte von Shadowing-Domains.
24.10.2022/dr

Tipps & Tools

Download der Woche: Picocrypt [7.12.2022]

Für einen effektiven Schutz Ihrer Dateien müssen Sie nicht unbedingt mit aufwendigen und komplizierten Verschlüsselungswerkzeugen arbeiten. Mithilfe des Algorithmus "ChaCha20-Poly1305" bietet beispielsweise "Picocrypt" eine ausreichend sichere Verschlüsselung samt praktischer Optionen, ist einfacher zu bedienen als vergleichsbare Tools und noch dazu kostenfrei. [mehr]

Passwörter evakuieren [2.12.2022]

Wenn ein Windows-Update scheitert oder gar das ganze System abraucht, häufen sich schnell die Probleme – unter anderem sind sowohl die Passwörter der verschiedenen Anwendungen als auch die im System selbst abgelegten in Gefahr. Allerdings hiflt Ihnen das freie Tool "ExtPassword" dabei, hier Abhilfe zu schaffen. [mehr]

Fachartikel

Emotet – Ein zerstörerisches Comeback [7.12.2022]

Im Jahr 2014 tauchte Emotet zum ersten Mal auf – zunächst als bescheidener Banking-Trojaner. Doch die Cyberkriminellen hinter der Malware dachten weiter: Sie boten als eine der ersten Gruppen Malware-as-a-Service an und nutzen es erfolgreich, um ein massives Botnetz infizierter Systeme aufzubauen und den Zugang an Dritte zu verkaufen. Nach langer Ruheperiode gab es Ende 2021 ein Comeback – und zwar ein rasantes: Bis April 2022 stiegen die Emotet-Fälle um ganze 2700 Prozent. Unser Fachartikel trägt einige Erkenntnisse zu den neuen Methoden und Gefahren von Emotet zusammen. [mehr]

Buchbesprechung

The Security Culture Playbook

von Perry Carpenter und Kai Roer

Anzeigen