Inhaltsverzeichnis

Was ist Dangling DNS?

Inhaltsverzeichnis

Um Dangling DNS zu verstehen, müssen Sie die DNS-Grundlagen verstehen. DNS ist ein Protokoll, das benutzerfreundliche Domänennamen, wie z.B. paloaltonetworks.com, die leicht zu merken und zu erkennen sind, in eine numerische IP-Adresse umwandelt. Die IP-Adressen für jede Domäne sind in autoritativen DNS-Servern gespeichert, die wie die Telefonbücher des Internets funktionieren. Wenn Sie eine Website-Adresse in einen Browser eingeben, stellt der Browser zunächst eine Verbindung zu einem rekursiven DNS-Server her und stellt die Frage: "Wie lautet die IP-Adresse von paloaltonetworks.com?" Der rekursive DNS-Server sendet eine Anfrage an den autoritativen Server, um die Antwort zu erhalten.

 

Was ist ein CNAME

Übliche Arten von Einträgen, die in einem autoritativen DNS-Server gespeichert sind, sind Start of Authority (SOA), IP-Adressen, Nameserver (NS), Zeiger für Reverse-DNS-Lookups (PTR) und kanonische Namenseinträge (CNAME).

Ein CNAME ist eine Art DNS-Datenbankeintrag, der als Alias für eine andere Domain fungiert und auf eine Domain statt auf eine IP-Adresse verweist. CNAME-Einträge werden in der Regel verwendet, um mehrere Websites, die derselben Organisation gehören, auf eine primäre Website zu verweisen, dieselben Domains in verschiedenen Ländern zu registrieren, so dass jede Domain auf die übergeordnete Domain verweist, und vieles mehr.

Nehmen wir an, Ihr Unternehmen mit der Domain supercompany[.]com führt eine neue Dienstleistung oder ein neues Produkt ein und erstellt eine neue Subdomain mit dem Namen superproduct[.]supercomany[.]com. Wenn diese Subdomain als Alias für die übergeordnete Domain festgelegt wird, die jeder kennt, hat die Subdomain superproduct[.]supercomany[.]com einen CNAME-Eintrag, der auf supercompany[.]com zeigt.

 

Dangling DNS

Während DNS-Einträge Domänennamen auf andere Domänen verweisen, bleibt dieser DNS-Eintrag, wenn eine Domäne aufgegeben wird, in der Schwebe und wird nun als Dangling-DNS-Eintrag bezeichnet. Da sie verlassen ist, kann diese Domain leicht von Bedrohungsakteuren gekapert und für den ersten Zugang zu einem Netzwerk verwendet werden. Angreifer nutzen diese Dangling-DNS-Technik häufig für Phishing und andere Social-Engineering-Angriffe. Nehmen wir an, superproduct.supercomany.com verweist auf eine andere Domain, z.B. superproduct.com, oder einen externen Host oder eine IP, z.B. compute1234.amazonaws.com, und das Unternehmen verlässt den Namen superproduct.com oder den Compute-Node, der ihn hostet, vergisst aber, dass der CNAME superproduct.supercomany.com immer noch auf die auslaufende Domain oder den externen Host/IP-Namen verweist. Das bedeutet, dass die Hauptdomain supercomany.com für Angreifer ein idealer Ort ist, um ihre bösartige Website zu hosten. Ein Hacker kann ein SSL-Zertifikat mit superproduct.supercomany.com darauf installieren und bösartige Inhalte auf Kosten des Rufs Ihres Unternehmens liefern.

Um mehr über die DNS-Sicherheit von Palo Alto Networks zu erfahren, besuchen Sie https://www.paloaltonetworks.de/network-security/advanced-dns-security. Weitere Informationen zu Dangling DNS finden Sie in unserem Blog, Dangling Domains: Sicherheitsbedrohungen, Erkennung und Prävalenz.

 

Dangling DNS FAQs

Dangling-DNS-Einträge können ein erhebliches Sicherheitsrisiko darstellen, da sie auf Domänen oder Dienste verweisen, die nicht mehr gültig sind oder unter der Kontrolle des Domänenbesitzers stehen. Angreifer können diese Einträge ausnutzen, indem sie abgelaufene Domains registrieren, die Kontrolle über Subdomains erlangen und diese nutzen, um den Datenverkehr abzufangen, sensible Daten zu stehlen, Phishing-Angriffe durchzuführen oder Malware zu verbreiten. Dies kann zu unbefugtem Zugriff auf Systeme, zu Datenverletzungen oder zur Imitation legitimer Dienste führen.
Eine Subdomain-Übernahme liegt vor, wenn ein Angreifer die Kontrolle über eine Subdomain erlangt, die in den DNS-Einträgen noch aktiv ist, aber auf eine Ressource verweist, die nicht mehr unter der Kontrolle des Domaininhabers steht. Durcheinander geratene DNS-Einträge, insbesondere CNAME- oder MX-Einträge, führen häufig zu Übernahmen von Subdomains. Nehmen wir zum Beispiel an, ein CNAME-Eintrag verweist auf einen externen Dienst, der außer Betrieb genommen wurde. In diesem Fall kann ein Angreifer diese externe Domain registrieren und die Subdomain kapern, so dass er bösartige Inhalte hosten oder die für die legitime Domain bestimmte Kommunikation abfangen kann.
Organisationen können sich schützen, indem sie ihre DNS-Einträge regelmäßig überprüfen und aktualisieren, um nicht mehr benötigte Einträge zu entfernen oder auf stillgelegte Ressourcen zu verweisen. Sie sollten auch Sicherheitsmaßnahmen implementieren, wie z.B. die Aktivierung von DMARC (Domain-based Message Authentication, Reporting, and Conformance) und DKIM (DomainKeys Identified Mail) für die E-Mail-Authentifizierung, die den Missbrauch von DNS-Einträgen bei Phishing- oder Spoofing-Angriffen verhindern können. Außerdem kann die Verwendung von DNS-Alias-Einträgen, die an aktive Ressourcen gebunden sind, das Auftreten von Dangling References verhindern.
Dangling-DNS-Schwachstellen können auf verschiedene Weise ausgenutzt werden, z. B. durch DNS-MX-Einträge, die auf abgelaufene Domains verweisen und es Angreifern ermöglichen, E-Mails abzufangen oder die Domain für Phishing-Kampagnen zu nutzen. Ebenso können Angreifer auf ungenutzte CNAME-Einträge abzielen, um Subdomains zu übernehmen und bösartige Inhalte zu hosten. Organisationen mit mehreren Domains und Subdomains sollten diesen Einträgen große Aufmerksamkeit schenken, um eine unbefugte Nutzung zu verhindern.
Unübersichtliche DNS-Einträge betreffen Organisationen jeder Größe, vom Startup bis zum Großunternehmen. Während große Organisationen über umfangreichere DNS-Infrastrukturen verfügen und somit ein höheres Risiko für übersehene Einträge haben, können auch kleine Unternehmen ins Visier genommen werden, wenn ihre DNS-Einträge nicht angemessen verwaltet werden. Die regelmäßige Überwachung und Pflege von DNS-Einträgen ist entscheidend, um dieses Risiko zu verringern, unabhängig von der Größe der Organisation.
Verwandter Inhalt
Schützen Sie Ihr Netzwerk mit erweiterter DNS-Sicherheit
Erfahren Sie, wie Sie Ihr Netzwerk vor Angriffen schützen, Datenschutzverletzungen verhindern und ein nahtloses Sicherheitsmanagement gewährleisten können.
Video: Die erweiterte DNS-Sicherheit von Palo Alto Networks
Schlagen Sie Bedrohungen auf der DNS-Ebene mit der umfassendsten DNS-Sicherheitslösung der Branche die Tür vor der Nase zu.
Erweiterte DNS-Sicherheit Tech Doc
Sichern Sie Ihren DNS-Verkehr automatisch mit Precision AI, einer cloudbasierten Analyseplattform.
Entdecken Sie erweiterte DNS-Sicherheit
Stoppen Sie DNS-Hijacking-Angriffe in Echtzeit mit der erweiterten DNS-Sicherheit von Palo Alto Networks mit Precision AI.

Erhalten Sie die neuesten Nachrichten, Einladungen zu Veranstaltungen und Bedrohungswarnungen