pixel_dreams - Fotolia

F

Was ist Domain Shadowing und wie können sich Unternehmen dagegen verteidigen?

Die Exploits-Kits der Angreifer entwickeln sich weiter, um den Verteidigern einen Schritt voraus zu sein. Eine Technik ist das Domain Shadowing.

Das Exploit-Kit Angler hat Berichten zufolge eine neue Ausweichtechnik namens Domain-Shadowing übernommen. Was steckt hinter dieser Technik und wie wird sie in einem Malware-Angriff verwendet? Gibt es spezielle Abwehrmechanismen gegen Malware, die eine Schattendömäne verwendet?

Exploit-Kits müssen neue Techniken aufgreifen, um sowohl im Wettbewerb mit anderen Exploit-Kits mithalten zu können und um andererseits und profitabel zu bleiben. Wenn ein Angreifer nicht von einem Exploit-Kit profitieren kann, wird er entweder das aktuelle Kit verbessern oder zu einem neuen Kit wechseln. Die Verbesserung der Umgehungstechniken hilft dem Angreifer außerdem erfolgreicher zu sein.

Laut den Forschern von Cisco Talos ist Domain-Shadowing der Prozess des Sammelns von Domänen-Anmeldeinformationen, um stillschweigend Subdomains zu erstellen, die ohne Hinweis des eigentlichen Besitzers auf bösartige Server weiterleiten. Es handelt sich um eine Variante eines Fast Flux Domain-Name-Angriffs.

Bei einem Angriff mit Domain Shadowing wird sich ein Angreifer in der Website des Domain-Registrars anmelden und eine neue Subdomain auf einer neuen Server-IP-Adresse registrieren. Mit der Registrierung vieler Subdomain-Namen und IP-Adressen sind Angreifer in der Lage, Blacklists auszuhebeln. Allerdings ermöglicht dies den Angreifern nicht, reputationsbasierte Filter zu umgehen.

Domain Shadowing lässt sich dann dazu verwenden, einen DNS-Namen in der Malware, einzubetten. Über diesen kann die (weitere) Malware von einem kompromittierten Webhost heruntergeladen oder vorgegeben werden, wohin ein kompromittiertes System gestohlene Daten senden soll.

Die Abwehr gegen Domain Shadowing ist für Unternehmen mit Schwierigkeiten verbunden. Viele der Techniken von Domain-Shadowing werden nämlich auch rechtmäßig von Web-Hosting-Unternehmen verwendet.

Trotzdem gibt es einige Maßnahmen, die Firmen ergreifen können. So könnten sie beispielsweise die IP-Adressen gegen eine rufbasierte Blacklist (Reputation-based Blacklist) überprüfen, um zu sehen, ob sie zu mehreren Namen oder IP-Adressen auflösen. Anschließend könnten sie dann heuristische Verhaltensanalysen verwende, um möglicherweise gefährliche Netzwerkverbindungen zu identifizieren, die eine weitere Untersuchung erforderlich machen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Oktober 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Hacker-Tools und -Techniken, Untergrundseiten, Hacker-Gruppen

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close