Was sind schädliche neu registrierte Domains?
Nur wenige Branchen haben von der COVID-19-Pandemie profitiert und kaum eine mehr als die Cyberkriminalität. Nur allzu häufig kommt es heutzutage zur Ausschleusung von Daten, vor allem dem Diebstahl von Zugangsdaten. Eine der einfachsten Möglichkeiten hierfür sind schädliche neu registrierte Domains (NRDs)..
Domainnamen sind die Wegweiser des Internets und die Benutzer sind auf sie angewiesen, um online auf Waren und Dienstleistungen zuzugreifen. Für Firmen und Unternehmen sind Domainnamen wertvolle Markenwerte.
Jeden Tag werden Tausende von neuen Domains registriert, viele davon für einen legitimen Zweck wie die Einführung eines neuen Produkts, das Hosting einer neuen Website oder die Schaffung einer neuen Marke. Die große Mehrheit der NRDs ist jedoch verdächtig – und viele sind schädlich.
Die Evolution moderner Phishingangriffe (auf Englisch)
Eine Domain gilt als neu, wenn sie innerhalb der letzten 32 Tage registriert oder von einem anderen Inhaber übernommen wurde. Die Akteure, die hinter schädlichen NRDs stecken, erstellen oft Variationen von den Domains legitimer Marken, in der Hoffnung, die Benutzer zum Besuch dieser Seiten zu verleiten. Viele dieser Internetseiten sind nur für kurze Zeit aktiv und deshalb schwer als Schaddomains zu erkennen. Die Domain soroog[.]xyz, die am 29. Mai 2019 erstmals registriert wurde, ist ein Beispiel hierfür. Schon weniger als einen Monat später, am 27. Juni 2019, existierte sie nicht mehr. In der Zwischenzeit aber wurde diese schädliche Domain für zahlreiche Angriffe verwendet
Wie häufig kommen schädliche NRDs vor?
Schädliche NRDs sind nicht neu im Arsenal der Cyberkriminalität. In den ersten Monaten der COVID-19-Pandemie, als mehr Menschen zu Hause blieben, beobachteten wir jedoch eine deutliche Zunahme an schädlichen NRDs. Die Gründe hierfür sind einfach zu verstehen: Die Registrierung eines neuen Domainnamens ist schnell und einfach und es sind keine besonderen Kenntnisse erforderlich. Darüber hinaus ist das Einfügen von Schadcode nicht allzu kompliziert, man braucht im Prinzip nur etwas Zeit.
Die meisten Sicherheitssysteme von Unternehmen melden neue Domains nicht, sodass Cyberkriminelle ihre Angriffe durchführen können, solange diese Domains aktiv sind. Deshalb sind eine schnelle Erkennung und präventive Sicherheitsmaßnahmen so wichtig.
Wie werden schädliche NRDs genutzt?
Schädliche NRDs können dazu verwendet werden, sensible Daten, einschließlich Wallet- und Kreditkarteninformationen, auszuschleusen. Sie kommen hauptsächlich bei folgenden Angriffsarten zum Einsatz:
- Phishing: In der Regel per E-Mail werden Domains verschickt, die bekannten und belieben Internetseiten ähneln, um ahnungslose Benutzer dazu zu verleiten, auf die entsprechenden Links zu klicken. Die Domain canada-neflxt[.]com war beispielsweise eine aktive Phishingwebsite, die versuchte, Zugangs- und -Rechnungsdaten von Netflix-Abonnenten zu stehlen.
- Command and control (C2): Die Domain soroog[.]xyz verwendete am Tag ihrer Erstellung Malware für C2. Die Malware soll in der Regel „nach Hause telefonieren“, um Befehle entgegenzunehmen oder Daten auszuschleusen.
- Malwareverbreitung: Dazu gehören Viren, Würmer und Trojaner. Die Erstverbreitung erfolgt in der Regel über einen Phishingangriff oder eine kompromittierte Website.
Eine zeitnahe Erkennung ist entscheidend
Schädliche NRDs sind schwer zu erkennen, doch um das Unternehmen zu schützen, müssen Gefahren für das Netzwerk schnell und zuverlässig aufgedeckt werden. Im Idealfall hilft hier ein Sicherheitssystem, das NRDs identifizieren kann und intelligent genug ist, um Vorhersagen über deren schädliche Absichten zu treffen. So kann das Sicherheitssystem die schädlichen NRDs blockieren und Warnungen für Ihr Sicherheitspersonal erstellen. Ihre Teams können dann weitere Untersuchungen anstellen und entscheiden, wie auf der Grundlage der Unternehmensrichtlinien zu verfahren ist
Erfahren Sie, wie DNS Security von Palo Alto Networks vor schädlichen NRDs schützt.
Nähere Informationen zu schädlichen NRDs finden Sie unter Newly Registered Domains: Malicious Abuse by Bad Actors by Unit 42®(Neu registrierte Domains: Missbräuchliche Nutzung durch böswillige Akteure, verfasst von Unit 42).