So funktioniert Domain Shadowing

Angriff aus den Schatten: Cyberkriminelle kompromittieren Domainnamen, um die Eigentümer oder Benutzer der Domain direkt anzugreifen oder sie für verschiedene ruchlose Unternehmungen wie Phishing, Malware-Verteilung und Command-and-Control-Operationen (C2) zu nutzen. Ein spezieller Fall von DNS-Hijacking ist das so genannte Domain Shadowing, bei dem Angreifer heimlich bösartige Subdomains unter kompromittierten Domainnamen erstellen. Shadow Domains haben keinen Einfluss auf den normalen Betrieb der kompromittierten Domains, so dass sie von den Opfern nur schwer entdeckt werden können. Die Unauffälligkeit dieser Subdomain ermöglicht es den Tätern oft, den guten Ruf der kompromittierten Domain über lange Zeit auszunutzen.

Aktuelle, auf der Bedrohungsforschung basierende Erkennungsansätze sind arbeitsintensiv und langsam, da sie auf die Entdeckung bösartiger Kampagnen angewiesen sind, die Shadowed Domains verwenden, bevor sie in verschiedenen Datensätzen nach verwandten Domains suchen können. Um diese Probleme zu lösen, hat Palo Alto Networks eine automatisierte Pipeline entwickelt und implementiert, mit der Shadowed Domains schneller und in großem Umfang für noch nicht bekannte Kampagnen entdeckt werden können. Das System verarbeitet täglich Terabytes an passiven DNS-Protokollen, um Merkmale über mögliche Shadowing Domains zu extrahieren. Basierend auf diesen Merkmalen verwendet es ein hochpräzises maschinelles Lernmodell, um Schadow-Domain-Namen zu identifizieren. Das Modell findet Hunderte von Shadow Domains, die täglich unter Dutzenden von kompromittierten Domainnamen erstellt werden.

Um zu verdeutlichen, wie schwierig es ist, Shadowed Domains zu entdecken, haben die Forscher von Palo Alto Networks herausgefunden, dass von den 12.197 Shadowed Domains, die sie zwischen dem 25. April und dem 27. Juni 2022 automatisch entdeckt haben, nur 200 Domains von Anbietern auf VirusTotal als bösartig markiert wurden. Als Beispiel dient ein detaillierter Bericht über eine Phishing-Kampagne, bei der 649 verdeckte Subdomains unter 16 kompromittierten Domains wie bancobpmmavfhxcc.barwonbluff.com[.]au und carriernhoousvz.brisbanegateway[.]com genutzt wurden. Die Täter nutzten den guten Ruf dieser Domain aus, um gefälschte Anmeldeseiten zu verbreiten und Anmeldedaten zu sammeln. Die Leistung des VT-Anbieters ist bei dieser speziellen Kampagne wesentlich besser: 151 der 649 Shadow Domains wurden als gefährlich eingestuft, aber immer noch weniger als ein Viertel aller Domains.

Wie Domain Shadowing funktioniert

 Cyberkriminelle nutzen Domain-Namen für verschiedene illegale Zwecke, darunter die Kommunikation mit C2-Servern, die Verbreitung von Malware, Betrug und Phishing. Um diese Aktivitäten zu unterstützen, können Betrüger entweder Domainnamen kaufen (böswillige Registrierung) oder bestehende Domainnamen kompromittieren (DNS-Hijacking/Kompromittierung). Zu den Möglichkeiten der Kriminellen, einen Domainnamen zu kompromittieren, gehören der Diebstahl der Anmeldedaten des Domaininhabers bei der Registrierstelle oder dem DNS-Dienstanbieter, die Kompromittierung der Registrierstelle oder des DNS-Dienstanbieters, die Kompromittierung des DNS-Servers selbst oder die missbräuchliche Verwendung von Dangling-Domains.

Domain Shadowing ist eine Unterkategorie des DNS-Hijacking, bei der Angreifer versuchen, unbemerkt zu bleiben. Zunächst fügen die Cyberkriminellen heimlich Subdomains unter dem kompromittierten Domainnamen ein. Zweitens behalten sie bestehende Einträge bei, um den normalen Betrieb von Diensten wie Websites, E-Mail-Servern und anderen Diensten zu ermöglichen, die die kompromittierte Domain nutzen. Indem sie den ungestörten Betrieb bestehender Dienste sicherstellen, machen die Kriminellen die Kompromittierung für die Domainbesitzer unauffällig und die Bereinigung der bösartigen Einträge unwahrscheinlich. Infolgedessen bietet Domain Shadowing Angreifern Zugang zu praktisch unbegrenzten Subdomains, die den guten Ruf der kompromittierten Domain übernehmen.

Wenn Angreifer die DNS-Einträge bestehender Domainnamen ändern, zielen sie auf die Eigentümer oder Nutzer dieser Domainnamen ab. Kriminelle nutzen jedoch oft Shadow Domains als Teil ihrer Infrastruktur, um Bestrebungen wie allgemeine Phishing-Kampagnen oder Botnet-Operationen zu unterstützen. Im Falle von Phishing können Kriminelle Shadow Domains als Ausgangsdomain in einer Phishing-E-Mail, als Zwischenknoten in einer bösartigen Umleitung (z. B. in einem System zur Verteilung von bösartigem Datenverkehr) oder als Landing Page, die die Phishing-Website hostet, verwenden. Bei Botnet-Operationen kann eine Shadow Domain beispielsweise als Proxy-Domain verwendet werden, um C2-Kommunikation zu verschleiern.

Wie erkennt man Domain Shadowing?

 Bei auf Bedrohungsjagd basierenden Ansätzen zur Erkennung von Shadow Domains gibt es Probleme wie z. B. die mangelnde Abdeckung, die Verzögerung bei der Erkennung und die Notwendigkeit menschlicher Arbeit. Deswegen hat Palo Alto Networks eine Erkennungspipeline entwickelt, die passive DNS-Verkehrsprotokolle (pDNS) nutzt. Anhand dieser Merkmale wurde ein maschineller Lernklassifikator trainiert, der den Kern der Erkennungspipeline bildet.

Entwurfsansatz für den maschinellen Lernklassifikator

 Die Merkmale lasen sich in drei Gruppen einteilen: diejenigen, die sich auf die potenzielle Shadow Domain selbst beziehen, diejenigen, die sich auf die Root-Domain der potenziellen Shadow Domain beziehen, und diejenigen, die sich auf die IP-Adressen der potenziellen Shadow Domain beziehen.

Die erste Gruppe ist spezifisch für die Shadow Domain selbst. Beispiele für diese Merkmale auf FQDN-Ebene sind:

• Abweichung der IP-Adresse von der IP-Adresse der Root-Domain (und ihres Landes/autonomen Systems).
• Unterschied im Datum des ersten Besuchs im Vergleich zum Datum des ersten Besuchs der Root-Domain.
• Ob die Subdomain populär ist.

Die zweite Merkmalsgruppe beschreibt die Root-Domain des Kandidaten für die Shadow Domain. Beispiele hierfür sind:

• Das Verhältnis von populären zu allen Subdomains der Root-Domain.
• Die durchschnittliche IP-Abweichung der Subdomains.
• Die durchschnittliche Anzahl der Tage, an denen die Subdomains aktiv sind.

Die dritte Gruppe von Merkmalen bezieht sich auf die IP-Adressen des Kandidaten für die Shadow Domain, zum Beispiel:

• Das Verhältnis von Apex-Domain zu FQDN auf der IP.
• Die durchschnittliche IP-Länderabweichung der Subdomains, die diese IP verwenden.

 Schlussfolgerung

Cyberkriminelle nutzen Shadow Domains für verschiedene illegale Aktivitäten, einschließlich Phishing und Botnet-Operationen. Es ist schwierig, Shadow Domains zu erkennen, da die Anbieter auf VirusTotal weniger als zwei Prozent dieser Domains abdecken. Da herkömmliche, auf Bedrohungsforschung basierende Ansätze zu langsam sind und die Mehrheit der Shadow Domains nicht aufdecken, empfiehlt sich ein automatisches Erkennungssystem, das auf pDNS-Daten basiert. Ein hochpräziser, auf maschinellem Lernen basierender Detektor verarbeitet dabei dazu Terabytes von DNS-Protokollen und entdeckt täglich Hunderte von Shadowing-Domains.