Domain-Shadowing.

Definition von Domain Shadowing

Domain Shadowing ist eine bösartige Technik, bei der Cyberkriminelle die Zugangsdaten eines Domaininhabers kompromittieren, um Subdomains zu erstellen, die für das Hosten von bösartigem Inhalt oder das Durchführen von Cyberangriffen verwendet werden, und zwar unter dem Deckmantel einer legitimen Domain. Diese Subdomains sind so gestaltet, dass sie als integraler Bestandteil der legitimen Domain erscheinen, was die Erkennung erschwert und die Wahrscheinlichkeit erfolgreicher Angriffe erhöht.

Wie Domain Shadowing funktioniert

1. Kompromittierte Zugangsdaten: Angreifer verschaffen sich Zugriff auf die Kontozugangsdaten eines Domaininhabers, häufig durch Phishing oder Credential Stuffing Angriffe. Indem sie Benutzer dazu bringen, ihre Anmeldeinformationen preiszugeben, oder automatisierte Werkzeuge verwenden, um Passwörter zu erraten, können Cyberkriminelle die erforderlichen Zugangsdaten erhalten, um die Kontrolle über eine Domain zu erlangen.

2. Erstellung von Subdomains: Sobald der Zugriff gesichert ist, erstellen Angreifer zahlreiche Subdomains auf der kompromittierten Elterndomain. Diese Subdomains werden genutzt, um eine Reihe von bösartigen Aktivitäten durchzuführen, darunter die Verbreitung von Malware, Phishing-Kampagnen und das Agieren als Command-and-Control-Server zur Steuerung von Botnets.

   • Malware-Verbreitung: Cyberkriminelle nutzen Subdomains, um Malware zu verbreiten. Wenn Benutzer eine kompromittierte Subdomain besuchen, laden sie möglicherweise unbewusst bösartige Software auf ihre Geräte herunter, die dann verwendet werden kann, um sensible Informationen zu stehlen, unautorisierte Aktivitäten durchzuführen oder weitere Malware zu verbreiten.

   • Phishing-Kampagnen: Subdomains, die durch Domain Shadowing erstellt wurden, können auch verwendet werden, um groß angelegte Phishing-Kampagnen durchzuführen. Angreifer erstellen täuschend echte Webseiten, die legitime Websites nachahmen, um Benutzer dazu zu bringen, sensible Informationen wie Benutzernamen, Passwörter oder Kreditkartendaten einzugeben. Diese Informationen werden dann für Identitätsdiebstahl, Finanzbetrug oder andere bösartige Aktivitäten verwendet.

   • Botnet-Command-and-Control: Ein Botnet ist ein Netzwerk aus kompromittierten Geräten, die von einem zentralen Command-Server gesteuert werden. Angreifer nutzen Subdomains als Command-and-Control-Server, um die Aktivitäten eines Botnets zu orchestrieren. Durch die Verwendung von Subdomains unter einer legitimen Domain erhöhen Cyberkriminelle die Wahrscheinlichkeit, von Sicherheitssystemen nicht erkannt zu werden.

3. Irreführende Legitimität: Domain Shadowing beruht darauf, Subdomains zu erstellen, die sowohl für Benutzer als auch für Sicherheitssysteme legitim und vertrauenswürdig erscheinen. Die Subdomains werden sorgfältig so gestaltet, dass sie die Struktur und das Design der Elterndomain nachahmen, oft unter Verwendung leichter Variationen in der Schreibweise oder Formatierung. Diese täuschende Taktik macht es schwierig für Benutzer und automatisierte Sicherheitstools, zwischen der legitimen Domain und den bösartigen Subdomains zu unterscheiden.

4. Bösartige Aktivitäten: Cyberkriminelle nutzen Domain Shadowing, um eine Vielzahl von Angriffen zu starten, die zu finanziellen Verlusten, Datenverletzungen und kompromittierter Sicherheit führen können.

   • Finanzieller Verlust: Durch die Veranstaltung von Betrügereien, wie Phishing-Kampagnen oder gefälschten Online-Shops, täuschen Cyberkriminelle Benutzer, um betrügerische Zahlungen zu leisten. Dies kann zu finanziellen Verlusten für Einzelpersonen und Schäden am Ruf legitimer Unternehmen führen.

   • Datenverletzungen: Durch die Verbreitung von Malware oder das Sammeln sensibler Informationen über Phishing können Cyberkriminelle unautorisierten Zugriff auf persönliche Daten der Benutzer erlangen, was möglicherweise zu Identitätsdiebstahl oder der Kompromittierung sensibler Geschäftsinformationen führt.

   • Kompromittierte Sicherheit: Domain Shadowing kann auch verwendet werden, um die Sicherheit der Elterndomain selbst zu kompromittieren. Durch das Einfügen von bösartigem Code oder die Verwendung von Subdomains als Command-and-Control-Server können Cyberkriminelle unautorisierten Zugriff auf das System erlangen, sensible Daten stehlen oder weitere Angriffe durchführen.

Präventionstipps

Um sich vor Domain Shadowing-Angriffen zu schützen, ist es wichtig, die folgenden präventiven Maßnahmen zu implementieren:

• Multi-Faktor-Authentifizierung: Aktivieren Sie die Multi-Faktor-Authentifizierung für Domaininhaber-Konten, um eine zusätzliche Sicherheitsebene hinzuzufügen. Durch die Anforderung eines zusätzlichen Verifizierungsschritts zusammen mit dem Benutzernamen und Passwort kann unautorisierter Zugriff auch im Falle einer Kompromittierung der Zugangsdaten verhindert werden.

• Regelmäßige Überwachung: Überwachen Sie regelmäßig Domainregistrierungen und melden Sie sofort unautorisierte Änderungen oder Hinzufügungen zu Subdomains. Domaininhaber sollten regelmäßig ihre Domaineinstellungen und DNS-Records überprüfen, um verdächtige Aktivitäten umgehend zu erkennen.

• Starke Kontosicherheit: Verwenden Sie starke, einzigartige Passwörter und ziehen Sie die Verwendung eines vertrauenswürdigen Passwortmanagers in Betracht, um Kontozugangsdaten sicher zu speichern. Die Einführung komplexer Passwörter, die nicht leicht zu erraten oder auf verschiedenen Plattformen wiederverwendet werden können, reduziert erheblich das Risiko einer Kompromittierung der Zugangsdaten.

Verwandte Begriffe

• Subdomain-Übernahme: Ähnlich wie beim Domain Shadowing umfasst die Subdomain-Übernahme die Ausnutzung ungenutzter Subdomains, um bösartige Aktivitäten zu installieren. Angreifer identifizieren verlassene oder vergessene Subdomains und übernehmen die Kontrolle über sie, um bösartige Inhalte zu hosten oder Angriffe durchzuführen.

• Phishing: Phishing ist eine Cyberkriminalität, bei der Angreifer Einzelpersonen durch täuschende E-Mails oder Nachrichten dazu bringen, sensible Informationen preiszugeben. Phishing-Angriffe umfassen häufig das Vortäuschen vertrauenswürdiger Entitäten und den Einsatz psychologischer Manipulation, um Empfänger davon zu überzeugen, ihre persönlichen Daten wie Passwörter, Kreditkartendetails oder Sozialversicherungsnummern preiszugeben.