Hacker können sich auf Ihrer Lieblingswebsite in aller Öffentlichkeit verstecken

Eskere Guru

Sicherheitsforscher haben detailliert beschrieben, wie Domain Shadowing bei Cyberkriminellen immer beliebter wird.

Wie von Bleeping Computer berichtet, enthüllten Analysten von Palo Alto Networks (Unit 42), wie sie in nur drei Monaten (April bis Juni 2022) auf über 12.000 solcher Vorfälle gestoßen sind.

Eine Darstellung eines gehackten Computers, der in einem Büro voller PCs steht.
Getty Images

Als Ableger des DNS -Hijacking bietet das Domain-Shadowing die Möglichkeit, bösartige Subdomains zu erstellen, indem legitime Domains infiltriert werden. Daher haben schattierte Domänen keine Auswirkungen auf die übergeordnete Domäne, wodurch sie natürlich schwer zu erkennen sind.

Cyberkriminelle können diese Subdomains anschließend für verschiedene Zwecke zu ihrem Vorteil nutzen, darunter Phishing, Malware-Verteilung und Befehls- und Kontrolloperationen (C2).

„Wir schließen aus diesen Ergebnissen, dass Domain Shadowing eine aktive Bedrohung für das Unternehmen darstellt und schwer zu erkennen ist, ohne automatisierte maschinelle Lernalgorithmen zu nutzen, die große Mengen an DNS-Protokollen analysieren können“, erklärte Unit 42.

Sobald Angreifer Zugriff erhalten haben, könnten sie sich dafür entscheiden, die Hauptdomäne selbst und ihre Eigentümer zu verletzen sowie Benutzer dieser Website anzugreifen. Sie haben jedoch Erfolg, indem sie stattdessen Personen über die Subdomains anlocken, außerdem bleiben die Angreifer durch diese Methode viel länger unentdeckt.

Aufgrund der subtilen Natur des Domain-Shadowings erwähnte Unit 42, wie schwierig es ist, tatsächliche Vorfälle und kompromittierte Domains zu erkennen.

Tatsächlich hat die VirusTotal-Plattform nur 200 bösartige Domains von den 12.197 im Bericht erwähnten Domains identifiziert. Die meisten dieser Fälle stehen im Zusammenhang mit einer einzelnen Phishing-Kampagne, die ein Netzwerk von 649 Schattendomänen über 16 kompromittierte Websites nutzt.

Eine System-Hacking-Warnung, die auf einem Computerbildschirm angezeigt wird.
Getty Images

Die Phishing-Kampagne enthüllte, wie die oben genannten Subdomains gefälschte Anmeldeseiten anzeigten oder Benutzer auf Phishing-Seiten umleiteten, die E-Mail-Sicherheitsfilter im Wesentlichen umgehen können.

Wenn die Subdomäne von einem Benutzer besucht wird, werden Anmeldeinformationen für ein Microsoft-Konto angefordert. Obwohl die URL selbst nicht aus einer offiziellen Quelle stammt, sind Internet-Sicherheitstools nicht in der Lage, zwischen einer legitimen und einer gefälschten Anmeldeseite zu unterscheiden, da keine Warnungen angezeigt werden.

Einer der in dem Bericht dokumentierten Fälle zeigte, wie ein in Australien ansässiges Schulungsunternehmen seinen Benutzern bestätigte, dass es gehackt wurde, der Schaden jedoch bereits über die Subdomains angerichtet wurde. Auf der Website wurde ein Fortschrittsbalken für den Wiederherstellungsprozess angezeigt.

Derzeit hat das „hochpräzise maschinelle Lernmodell“ von Unit 42 Hunderte von Schattendomänen entdeckt, die täglich erstellt werden. Überprüfen Sie daher immer die URL jeder Website, die Daten von Ihnen anfordert, auch wenn die Adresse auf einer vertrauenswürdigen Domain gehostet wird.