Anzeige

Hacker

Domain-Parking-Dienste bieten eine einfache Lösung für Domaininhaber, den Verkehr ihrer Websites durch Werbung Dritter zu monetarisieren. Während Domain Parking auf den ersten Blick harmlos erscheinen mag, stellen geparkte Domains eine erhebliche Bedrohung dar, da sie Besucher auf böswillige oder unerwünschte Landingpages umleiten oder zu jedem Zeitpunkt völlig bösartig werden können.

Die Forscher von Palo Alto Networks stellen geparkte Domains seit mehr als neun Jahren fest. Von März bis September 2020 haben sie fünf Millionen neu geparkte Domains identifiziert. Im gleichen Zeitraum haben die Forscher beobachtet, dass sechs Millionen geparkte Domains in andere Kategorien übergegangen sind. Von den vorübergehend geparkten Domains wechselten 1,0 Prozent zu bösartigen Kategorien (wie Phishing oder Malware), 2,6 Prozent zu Kategorien, die nicht mit der Arbeit vereinbar sind (wie Erwachseneninhalte oder Glücksspiele), und 30,6 Prozent zu verdächtigen Kategorien (fragwürdig oder mit hohem Risiko). Im Vergleich zu einer gutartigen Domain (wie Internet-Informationen oder -Shopping) hat eine geparkte Domain eine achtmal höhere Wahrscheinlichkeit, ihre Kategorie in eine der oben genannten nicht gutartigen Kategorien zu ändern.

Zu den wichtigsten Ergebnissen gehören:

  • Verfolgung der Web-Aktivitäten von Benutzern: Palo Alto Networks beobachtete Angreifer, die die Domain peoplesvote[.]uk im Zusammenhang mit den aktuellen US-Präsidentschaftswahlen missbrauchten. Die Benutzer werden auf eine Umfrage-Website weitergeleitet, auf der sie nach der Wahlpräferenz für Joe Biden oder Donald Trump befragt werden. Ein Exploit-Kit erstellt im Stillen Fingerabdrücke des Browsers, um die Web-Aktivitäten der Benutzer zu verfolgen. Bemerkenswert ist, dass diese Seiten immer noch aktiv sind.
     
  • Verbreitung von Emotet über Phishing-E-Mails: Palo Alto Networks beobachtete im Rahmen einer globalen Emotet-Kampagne den bösartigen Lebenszyklus der Domain valleymedicalandsurgicalclinic[.]com, die nicht mehr aktiv ist. Während dieser Kampagne verfolgte Palo Alto Networks Angriffe gegen Unternehmen und Institutionen in verschiedenen Branchen (z.B. Bildungswesen, Regierung, Energie, Fertigung, Bauwesen, Telekommunikation) auf der ganzen Welt, darunter in den USA, Großbritannien, Frankreich, Japan, Korea und Italien. Der Angriff, der sich gegen französische Organisationen richtete, nutzte auch die globale COVID-19-Pandemie als Betreffzeile der Phishing-E-Mail aus. Keiner dieser Angriffe war erfolgreich.
     
  • Missbrauch des Partnerprogramms von McAfee: Palo Alto Networks beobachtete eine Domain, xifinity[.]com, die Benutzer auf eine manipulierte Landingpage, antivirus-protection[.]com-123[.]xyz, umleitet. Beide Domains sind derzeit aktiv. Die Landing Page versucht, den Benutzern zu vermitteln, ihr Rechner sei infiziert und ihr McAfee-Abonnement sei abgelaufen. Durch Klicken auf die Schaltfläche „Proceed“ werden Benutzer auf eine legitime Downloadseite von McAfee weitergeleitet, die ein Antiviren-Abonnement anbietet. Palo Alto Networks glaubt, dass Angreifer das Partnerprogramm von McAfee missbrauchen, um Werbeeinnahmen zu stehlen.

Domain-Parking – was dahintersteckt

Einzelpersonen und Unternehmen müssen Registrierungsstellen (ICANN-akkreditierte Domainreseller) eine jährliche Gebühr zahlen, um Domainnamen zu kaufen und Domaininhaber zu werden. Wenn Domainbesitzer keinen Inhalt oder Service haben, auf den sie ihre Domains verweisen können, können sie Parking-Services nutzen, um den Benutzerverkehr zu monetarisieren.

Die Einrichtung eines Parking-Services ist einfach und erfordert nur, dass Domaininhaber ihre Name-Server (NS)-Einträge auf den Parking-Service verweisen. Im Gegenzug präsentieren Parking-Dienste den Besuchern entweder eine Liste mit Werbeanzeigen oder leiten die Benutzer automatisch auf die Webseiten der Inserenten um. Im ersten Fall werden Domaininhaber und Parking-Services bezahlt, wenn ein Benutzer auf eine Anzeige klickt, während sie im zweiten Fall pro Benutzerbesuch bezahlt werden. Einige Domaininhaber kaufen große Mengen an Domainnamen als Investition, um sie später gewinnbringend weiterzuverkaufen oder um den Benutzerverkehr zu monetarisieren. Wie aus früheren Forschungsstudien und diesem Blog hervorgeht, können geparkte Domains eine erhebliche Bedrohung für Endbenutzer darstellen. Aus diesem Grund und wegen ihres fragwürdigen Nutzens ist es möglicherweise am besten, geparkte Domains zu blockieren.

Palo Alto Networks hat eine umfassende Pipeline zur Verfolgung neu geparkter Domains und zur Veröffentlichung der Erkennungsergebnisse für die URL-Filterung bereitgestellt. Kürzlich hat Palo Alto Networks diese Kategorie auch in DNS Security eingeführt. Die Pipeline mit den entsprechenden Maßnahmen umfasst:

  1. Überwachung bekannter geparkter Serviceprovider und deren Infrastruktur.
  2. Verfolgung von Domainregistrierungen und passiven DNS-Abfragen sowie Durchführung von Reverse-DNS-Lookups.
  3. Durchsuchen von Website-Inhalten.
  4. Einsatz von maschinellem Lernen, um mehrere Merkmale zu kombinieren und zu klassifizieren, ob eine Domain geparkt ist.

Schlussfolgerung

Zusammenfassend lässt sich sagen, dass geparkte Domains Benutzer Bedrohungen aussetzen können, da sie Besucher auf böswillige oder unerwünschte Landingpages umleiten oder in Zukunft vollends böswillig werden können. Die beste Sicherheitspraxis für Unternehmen besteht darin, geparkte Domains genau im Auge zu behalten, während Privatnutzer darauf achten sollten, dass sie Domainnamen korrekt eingeben, und vor dem Besuch einer Website überprüfen sollten, ob die Domaininhaber vertrauenswürdig sind.

www.paloaltonetworks.de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Emotet
Okt 31, 2020

Emotet gefährdet Netzwerke weltweit

Die Security-Community beschäftigt sich seit 2014 mit der wandelbaren Ransomware. Das BSI…
Cyber Warfare
Okt 30, 2020

Cyber Warfare: US-Militär gelingt Schlag gegen Trickbot-Botnetz

Die vom United States Cyber Command durchgeführte Operation war offensichtlich ein…
Email Virus
Sep 01, 2020

Emotet meldet sich mit weiteren Sprachen und QBot-Malware zurück

Vor wenigen Wochen erst konnte Proofpoint die Rückkehr der Hackergruppe TA542 (Threat…

Weitere Artikel

Business Email Compromise

Business E-Mail Compromise: Weniger Technik, höhere Schäden

Ransomware ist unbestritten eine der größten Cyberbedrohungen für Unternehmen. Immer neue medienwirksame Fälle und die sich ständig weiterentwickelnde Technik haben ihren Teil dazu beigetragen, dass sich mittlerweile die meisten Unternehmen dieser Gefahr…
Hacker

Darknet: Der Aufstieg der Initial Access Broker durch das Home-Office

Home-Office in der Corona-Pandemie und neuer Malware-Technologien haben 2020 zu einem sprunghaften Anstieg beim Handel mit kompromittierten bzw. gehackten Fernzugriffen (Remote Access) geführt. Angebote rund um RDP-, VPN- und Citrix-Gateways haben einen neuen…
RDP

Home-Offices unter Beschuss: RDP-Angriffe steigen um 4.516 Prozent

Cyberkriminelle haben es in Deutschland, Österreich und der Schweiz massiv auf Unternehmen und deren Arbeitnehmer im Home-Office abgesehen. Allein im Dezember 2020 registrierte der europäische IT-Sicherheitshersteller ESET in diesen drei Ländern täglich…
Cybercrime

So setzen Hacker Cyberbedrohungen gezielt in der COVID-19-Pandemie ein

BlackBerry veröffentlicht den aktuellen BlackBerry Threat Report 2021, der einen starken Anstieg von Cyberbedrohungen für Unternehmen seit Beginn der COVID-19-Pandemie zeigt. Zudem lässt sich belegen, dass sich Cyberkriminelle nicht nur an neue Gewohnheiten…
Cybercrime

Bedrohungsanalyse 2020: Cyberattacken im Sekundentakt

Die Pandemie bleibt ein Fest für Kriminelle - sie nutzen die Verunsicherung der Menschen für Angriffe aus. Laut der aktuellen Bedrohungsanalyse von G DATA CyberDefense stieg die Zahl der abgewehrten Angriffsversuche im zweiten Halbjahr 2020 um 85 Prozent.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!