Domain-Hijacking mittels „Sitting Duck“-Angriffen

Domains sind das Herzstück der Online-Präsenz und Kommunikation jedes Unternehmens. Doch die Sicherheit dieser wertvollen digitalen Ressourcen wird oft vernachlässigt, was sie zu einem attraktiven Ziel für Cyberkriminelle macht. Ein besonders bedrohliches Angriffsszenario ist der sogenannte „Sitting Ducks“ Angriff, der Domain-Besitzer weltweit in Gefahr bringt.

Was ist ein „Sitting Ducks“ Angriff?

Der „Sitting Ducks“ Angriff zielt auf Schwachstellen im Domain Name System (DNS) ab. Angreifer nutzen dabei spezifische Lücken aus, um unberechtigten Zugriff auf registrierte Domains zu erlangen. Einmal kompromittiert, können die Angreifer die Domain für verschiedene bösartige Aktivitäten nutzen, wie Malware-Verteilung, Phishing-Kampagnen, Markenimitation und Datenexfiltration.

Wie funktioniert der Angriff?

Laut Forschern von Infoblox und Eclypsium ist der „Sitting Ducks“ Angriff relativ einfach durchzuführen und schwer zu erkennen. Hier sind die grundlegenden Schritte, die Cyberkriminelle befolgen:

  1. Identifizierung von Schwachstellen: Angreifer suchen gezielt nach alten oder schlecht gesicherten Domains.
  2. Ausnutzung der Schwachstellen: Sie nutzen bekannte Schwachstellen im DNS-System aus, um die Kontrolle über die Domain zu übernehmen.
  3. Durchführung von bösartigen Aktivitäten: Nach der Übernahme können die Angreifer die Domain für verschiedene illegale Aktivitäten nutzen.

Konkrete Details und Beispiele

Mehr als 35.000 Domains wurden bereits durch „Sitting Ducks“ Angriffe kompromittiert, ohne dass die Angreifer Zugang zum Konto des Domain-Besitzers beim DNS-Anbieter oder Registrar hatten. Diese Angriffe sind möglich durch Konfigurationsmängel auf der Ebene des Registrars und unzureichende Eigentumsverifikationen bei DNS-Anbietern.

Voraussetzungen für einen erfolgreichen Angriff:

  • Die registrierte Domain nutzt oder delegiert autoritative DNS-Dienste an einen anderen Anbieter als den Registrar.
  • Der autoritative Nameserver der Domain kann Anfragen nicht korrekt beantworten, da ihm die notwendigen Informationen fehlen (lame delegation).
  • Der DNS-Anbieter ermöglicht die Übernahme der Domain ohne ordnungsgemäße Verifizierung des Eigentums oder ohne Zugang zum Konto des Besitzers.

Beispiele für beobachtete Aktivitäten:

  • „Spammy Bear“: Hijacking von GoDaddy-Domains Ende 2018 zur Nutzung in Spam-Kampagnen.
  • „Vacant Viper“: Seit Dezember 2019 werden jährlich etwa 2.500 Domains gehijackt, um IcedID zu verteilen und Command-and-Control-Domains für Malware einzurichten.
  • „VexTrio Viper“: Seit Anfang 2020 werden die gehijackten Domains in einem massiven Traffic-Distribution-System genutzt, das die SocGholish- und ClearFake-Operationen unterstützt.

Warum sind diese Angriffe gefährlich?

Die Gefährlichkeit der „Sitting Ducks“ Angriffe liegt in ihrer Einfachheit und Unauffälligkeit. Die Angriffe sind schwer zu erkennen und die betroffenen Domains können unbemerkt für längere Zeit kompromittiert bleiben. Darüber hinaus ist die Anzahl der potenziell gefährdeten Domains enorm. Schätzungen zufolge gibt es täglich mehr als eine Million anfällige Domains.

Schutzmaßnahmen für Domain-Besitzer

Die gute Nachricht ist, dass „Sitting Ducks“ Angriffe vermeidbar sind. Hier sind einige empfohlene Schutzmaßnahmen:

  1. Regelmäßige Überprüfung und Aktualisierung der DNS-Einstellungen: Stellen Sie sicher, dass Ihre DNS-Einstellungen regelmäßig überprüft und aktualisiert werden, um bekannte Schwachstellen zu schließen.
  2. Verwendung von Multi-Faktor-Authentifizierung (MFA): Implementieren Sie MFA für den Zugriff auf Domain-Registrierungsdienste, um die Sicherheit zu erhöhen.
  3. Überwachung der Domain-Aktivitäten: Nutzen Sie Überwachungsdienste, um ungewöhnliche Aktivitäten auf Ihrer Domain schnell zu erkennen.
  4. Evaluierung der Risikolage: Besonders ältere Domains sollten regelmäßig auf Sicherheitslücken überprüft und entsprechend abgesichert werden.

Auswirkungen einer temporären Übernahme von Domains auf die Mail-Kommunikation und CEO-Fraud

Eine auch nur temporäre Übernahme einer Domain kann erhebliche Auswirkungen auf die E-Mail-Kommunikation eines Unternehmens haben:

  1. Abfangen von E-Mails: Angreifer können alle an die gekaperte Domain gerichteten E-Mails abfangen. Dies ermöglicht ihnen den Zugang zu vertraulichen Informationen, Geschäftskorrespondenzen und persönlichen Daten.
  2. Manipulation von E-Mails: Cyberkriminelle können eingehende und ausgehende E-Mails verändern. Sie könnten z.B. Rechnungen manipulieren, um Zahlungen auf ihre eigenen Konten umzuleiten.
  3. Impersonation: Durch die Übernahme der Domain können Angreifer E-Mails im Namen der legitimen Benutzer senden. Dies führt dazu, dass Empfänger getäuscht werden und glauben, die E-Mails stammen von vertrauenswürdigen Absendern.
  4. Blockierung des E-Mail-Verkehrs: Angreifer können den E-Mail-Verkehr unterbrechen oder blockieren, was zu Kommunikationsausfällen und geschäftlichen Störungen führen kann.

CEO-Fraud durch eine temporär gekaperte Domain

CEO-Fraud, auch bekannt als Business Email Compromise (BEC), ist eine Betrugsmethode, bei der Angreifer sich als Führungskräfte eines Unternehmens ausgeben, um Mitarbeiter dazu zu bringen, Geld zu überweisen oder vertrauliche Informationen preiszugeben. Eine temporär gekaperte Domain kann diesen Betrug noch einfacher machen:

  1. Vorbereitung: Angreifer übernehmen temporär die Domain eines Unternehmens. Dadurch erhalten sie Zugang zu allen E-Mail-Konten, die mit dieser Domain verbunden sind.
  2. Impersonation des CEO: Mit Zugriff auf die E-Mail-Adresse des CEO oder einer anderen Führungskraft können Angreifer täuschend echte E-Mails erstellen und senden. Diese E-Mails enthalten oft dringende Zahlungsaufforderungen oder Bitten um vertrauliche Informationen.
  3. Gezielte Angriffe auf Finanzabteilungen: E-Mails werden speziell an Mitarbeiter in der Finanzabteilung oder andere Entscheidungsträger gesendet. Diese E-Mails scheinen von der echten E-Mail-Adresse des CEO zu kommen und enthalten Anweisungen zur Überweisung von Geldern auf betrügerische Konten.
  4. Dringlichkeit und Vertraulichkeit: Die gefälschten E-Mails betonen oft die Dringlichkeit und Vertraulichkeit der Anfrage, was den Druck auf die Mitarbeiter erhöht, schnell und ohne gründliche Überprüfung zu handeln.
  5. Täuschung durch Vertrautheit: Da die E-Mails von einer authentischen, temporär übernommenen Domain gesendet werden, erscheinen sie völlig legitim. Dies erhöht die Wahrscheinlichkeit, dass die Empfänger den Anweisungen folgen.

Schutzmaßnahmen

Um solche Angriffe zu verhindern, sollten Unternehmen folgende Maßnahmen ergreifen:

  1. Schulung der Mitarbeiter: Regelmäßige Schulungen über die Risiken und Erkennungsmerkmale von Phishing und CEO-Fraud können die Sensibilität der Mitarbeiter erhöhen.
  2. Multi-Faktor-Authentifizierung (MFA): Implementierung von MFA für den Zugang zu E-Mail-Konten und anderen sensiblen Systemen erhöht die Sicherheit erheblich.
  3. E-Mail-Authentifizierungsprotokolle: Die Nutzung von Protokollen wie SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting & Conformance) kann helfen, gefälschte E-Mails zu erkennen und zu blockieren.
  4. Regelmäßige Überprüfungen und Aktualisierungen der DNS-Einstellungen: Durch regelmäßige Überprüfungen können Schwachstellen im DNS-System identifiziert und behoben werden, bevor sie von Angreifern ausgenutzt werden können.
  5. Interne Verfahrenskontrollen: Etablierung klarer Verfahrensweisen für Finanztransaktionen, die mehrere Genehmigungsstufen und Überprüfungen erfordern, um unautorisierte Überweisungen zu verhindern.

Durch die Umsetzung dieser Maßnahmen können Unternehmen die Risiken einer Domain-Übernahme und die damit verbundenen Bedrohungen wie CEO-Fraud erheblich reduzieren.


Ausblick

Domains sind ein kritischer Bestandteil der Online-Präsenz und erfordern daher besondere Aufmerksamkeit in Bezug auf Sicherheit. Der „Sitting Ducks“ Angriff zeigt, wie wichtig es ist, proaktiv zu handeln und geeignete Sicherheitsmaßnahmen zu implementieren. Durch regelmäßige Überprüfungen, Aktualisierungen und den Einsatz von Sicherheitsmechanismen können Domain-Besitzer das Risiko einer Kompromittierung erheblich reduzieren und ihre digitalen Vermögenswerte schützen.

Fachanwalt für IT-Recht Jens Ferner