Zehntausende von Domain-Shadowing betroffene Subdomains stillgelegt

Experten legen Zehntausende von Subdomains still, die mit einer Domain-Shadowing-Kampagne konfiguriert und von Betrüger verwendet wurden, um das RIG-Exploit-Kit zu hosten.

Experten legen Zehntausende von Subdomains still, die mit einer Domain-Shadowing-Kampagne konfiguriert und von Betrüger verwendet wurden, um das RIG-Exploit-Kit zu hosten.

Mit Hilfe von weiteren Sicherheitsfirmen und -forschern haben GoDaddy und RSA-Security Zehntausende illegal aufgebaute Subdomains stillgelegt, die von Betrüger verwendet wurden, um das RIG-Exploit-KIT zu hosten.

Das RIG-Exploit-Kit ist in der kriminellen Szene sehr beliebt. Bereits am Anfang des Jahres warnten Experten der Firma Heimdal Security vor einer Steigerung der Cyber-Angriffe,die das beliebte Neutrino und RIG-EK ausnutzen.

Die Cyber-Kriminellen verschafften sich Zugänge zur Domainverwaltung via Phishing-Angriffe (sogenanntes Domain-Shadowing) und erstellten dort beliebige Subdomains. Die meisten verwendeten GoDaddy als primären Domainregistrar.

„Domain-Shadowing ist eine Technik in der sich die Angreifer Zugänge zur Domainverwaltung einer Domain verschaffen, um dort Subdomains zu erstellen, die auf bösartige Server weiterleiten“ erklärte RSA. „als unmittelbare Folge wurden Zehntausende der aktiven Shadow-Domain-Ressourcen von RIG-, malvertising- und malspam-Betrieben stillgelegt.“

Im März legten Experten die Subdomains zusammen mit mehreren Hunderten IP-Adressen still, die von den Betrügern verwendet wurden, um Malware zu verbreiten.

RSA-Security veröffentlichte einen detaillierten Bericht benannt „„Shadow“fall on the RIG operation“ .

Laut RSA haben die Hacker „daten-stehlende“-Malware als Teil einer Phishing-Kampagne verwendet, um an Zugänge zur Domainverwaltung einer Domain zu kommen. Die Betrüger verwendeten die Zugänge, um neue Subdomains zu erstellen und diese als Tore für Angriffe zu verwenden, die den Besucher zu einer IP-Adressen weiterleitet, die das Exploit-Kit im Einsatz hat.

Forscher von RSA ordneten Domains und Registrare zu und stellten fest, dass die meisten Domains bei GoDaddy registriert sind.

Der Einsatz der RSA führte zu der Entdeckung von 40.000 Netzwerk-Subdomains und 2.000 IP-Adressen. Laut RSA hatten die „Shadow“-Domains eine durchschnittliche Lebenszeit von 24 Stunden. Bevor neue Subdomains erstellt wurden, wurden die DNS-Records bereinigt.

Die Forscher untersuchten vier Kampagnen zwischen Februar und März, zwei davon verbreiteten Malware wie z.B., die Cerber-Ransomeware und die Dreambot-Banking-Malware.

RSA unterstützte GoDaddy dabei, Automatisierungen einzuführen, die „Shadowing“-Angriffe überwachen und erkennen.

„Um voranzukommen muss die Weiterentwicklung von Prozessen wie „at-scale“-Erkennung und die Entfernung von bösartigen DNS-Records, wie auch die Einführung von Präventionsmaßnahmen stets gefördert werden.
Der Fokus der Ad-Hoc-Sanierung liegt darin, sich zukünftig nicht mehr nur auf die Zuverlässigkeit von Hinweisen zu verlassen, sondern auf die Analyse interner Datensätze, um bösartige Einträge vollautomatisch zu erkennen und zu entfernen“ schließt der Bericht der RSA ab.

„Erfolg in diesen Bereichen wird die Erkennungs- und die Sanierungszeit mindern, während zu Gleich die Lebenszeit der Shadow-Domains stark reduziert wird. Risikominderungsmaßnahmen für die Konten mit hohem Risiko werden ebenfalls untersucht. Dieser Weg wird GoDaddy-Konten sicherer machen und die Wirksamkeit, Domain-Shadowing als Technik für die Verteilung von Malware zu verwenden, stark erschweren“.

Mit freundlicher Genehmigung aus dem englischen Original von Pierluigi Paganini