Die Cybersicherheitseinheit »Unit 42« des US-Unternehmens Palo Alto Networks warnt vor einer neuen Cyberattacke: beim »Domain-Shadowing« werden einer vermeintlich seriösen Domain bösartige Inhalte über die Subdomain untergeschoben.
Es kann für Cyberkriminelle kurzfristig durchaus reizvoll sein, fremde Domain-Namen zu entführen, um von deren Traffic zu profitieren und Malware zu verbreiten. Allerdings ist das Risiko einer Entdeckung nicht unerheblich, und die entführte Domain so rasch wertlos. Das US-Sicherheitsunternehmen Palo Alto Networks hat nun eine Variante ausgemacht, die den Cyberkriminellen mehr Zeit zur Nutzung einer kompromittierten Domain verschafft und so das Schadenspotential erheblich vergrößert. Bei dieser »Domain Shadowing« getauften Methode übernehmen die Täter im ersten Schritt die Kontrolle über die Domain, ohne auf deren regulären Betrieb Einfluss zu nehmen; der Domain-Inhaber bekommt den Kontrollverlust also zunächst nicht mit. Im zweiten Schritt erstellen die Kriminellen Subdomains unterhalb der entführten Domain, die sie dann für Malware oder Phishing nutzen. Die Unauffälligkeit der Subdomain ermöglicht es den Tätern, den »guten Ruf« der kompromittierten Domain über lange Zeit auszunutzen. Ein Beispiel: die Täter übernehmen die Domain halont.au, richten dann die Subdomain training.halont.au ein und nutzen diese, um Schadsoftware zu verbreiten. Selbst geübte Nutzer laufen Gefahr, so Opfer einer Phishing-Attacke zu werden.
Nach Einschätzung von Palo Alto Networks sind die aktuellen, auf der Bedrohungsforschung basierenden Erkennungsansätze arbeitsintensiv und langsam, da sie auf die Entdeckung bösartiger Muster angewiesen sind, die derartige Schatten-Domains verwenden, bevor sie in Datensätzen danach suchen können. Die US-Forscher wollen aber eine lernfähige »detection pipeline« entwickelt haben, die eine Entdeckung erheblich beschleunigt. Dabei helfen Merkmale wie eine Abweichung der IP-Adresse der Subdomain von der IP-Adresse der Root-Domain, ein Unterschied im Datum des ersten Besuchs im Vergleich zum Datum des ersten Besuchs der Root-Domain oder Informationen zur Popularität der Subdomain. Weitere Merkmale können das Verhältnis von populären zu allen Subdomains der Root-Domain betreffen, die durchschnittliche Anzahl der Tage, an denen die Subdomains aktiv sind oder die durchschnittliche IP-Länderabweichung der Subdomains, die diese IP verwenden.
Man dürfte sich aber nicht täuschen lassen: es sei schwierig, Schatten-Domains zu erkennen. Herkömmliche, auf Bedrohungsforschung basierende Ansätze seien zu langsam und würden die Mehrheit der kompromittierten Domains nicht aufdecken. Auf Dauer wird nur effektives Domain-Management derartige Angriffe verhindern. Die damit verbundenen Kosten sind regelmäßig geringer als der entstandene Schaden, denn selbst wenn die Cyberkriminellen entdeckt werden und verschwinden – auch die Domain dürfte man bis auf weiteres los sein.