Anzeige

Hacker

Domain-Parking-Dienste bieten eine einfache Lösung für Domaininhaber, den Verkehr ihrer Websites durch Werbung Dritter zu monetarisieren. Während Domain Parking auf den ersten Blick harmlos erscheinen mag, stellen geparkte Domains eine erhebliche Bedrohung dar, da sie Besucher auf böswillige oder unerwünschte Landingpages umleiten oder zu jedem Zeitpunkt völlig bösartig werden können.

Die Forscher von Palo Alto Networks stellen geparkte Domains seit mehr als neun Jahren fest. Von März bis September 2020 haben sie fünf Millionen neu geparkte Domains identifiziert. Im gleichen Zeitraum haben die Forscher beobachtet, dass sechs Millionen geparkte Domains in andere Kategorien übergegangen sind. Von den vorübergehend geparkten Domains wechselten 1,0 Prozent zu bösartigen Kategorien (wie Phishing oder Malware), 2,6 Prozent zu Kategorien, die nicht mit der Arbeit vereinbar sind (wie Erwachseneninhalte oder Glücksspiele), und 30,6 Prozent zu verdächtigen Kategorien (fragwürdig oder mit hohem Risiko). Im Vergleich zu einer gutartigen Domain (wie Internet-Informationen oder -Shopping) hat eine geparkte Domain eine achtmal höhere Wahrscheinlichkeit, ihre Kategorie in eine der oben genannten nicht gutartigen Kategorien zu ändern.

Zu den wichtigsten Ergebnissen gehören:

  • Verfolgung der Web-Aktivitäten von Benutzern: Palo Alto Networks beobachtete Angreifer, die die Domain peoplesvote[.]uk im Zusammenhang mit den aktuellen US-Präsidentschaftswahlen missbrauchten. Die Benutzer werden auf eine Umfrage-Website weitergeleitet, auf der sie nach der Wahlpräferenz für Joe Biden oder Donald Trump befragt werden. Ein Exploit-Kit erstellt im Stillen Fingerabdrücke des Browsers, um die Web-Aktivitäten der Benutzer zu verfolgen. Bemerkenswert ist, dass diese Seiten immer noch aktiv sind.
     
  • Verbreitung von Emotet über Phishing-E-Mails: Palo Alto Networks beobachtete im Rahmen einer globalen Emotet-Kampagne den bösartigen Lebenszyklus der Domain valleymedicalandsurgicalclinic[.]com, die nicht mehr aktiv ist. Während dieser Kampagne verfolgte Palo Alto Networks Angriffe gegen Unternehmen und Institutionen in verschiedenen Branchen (z.B. Bildungswesen, Regierung, Energie, Fertigung, Bauwesen, Telekommunikation) auf der ganzen Welt, darunter in den USA, Großbritannien, Frankreich, Japan, Korea und Italien. Der Angriff, der sich gegen französische Organisationen richtete, nutzte auch die globale COVID-19-Pandemie als Betreffzeile der Phishing-E-Mail aus. Keiner dieser Angriffe war erfolgreich.
     
  • Missbrauch des Partnerprogramms von McAfee: Palo Alto Networks beobachtete eine Domain, xifinity[.]com, die Benutzer auf eine manipulierte Landingpage, antivirus-protection[.]com-123[.]xyz, umleitet. Beide Domains sind derzeit aktiv. Die Landing Page versucht, den Benutzern zu vermitteln, ihr Rechner sei infiziert und ihr McAfee-Abonnement sei abgelaufen. Durch Klicken auf die Schaltfläche „Proceed“ werden Benutzer auf eine legitime Downloadseite von McAfee weitergeleitet, die ein Antiviren-Abonnement anbietet. Palo Alto Networks glaubt, dass Angreifer das Partnerprogramm von McAfee missbrauchen, um Werbeeinnahmen zu stehlen.

Domain-Parking – was dahintersteckt

Einzelpersonen und Unternehmen müssen Registrierungsstellen (ICANN-akkreditierte Domainreseller) eine jährliche Gebühr zahlen, um Domainnamen zu kaufen und Domaininhaber zu werden. Wenn Domainbesitzer keinen Inhalt oder Service haben, auf den sie ihre Domains verweisen können, können sie Parking-Services nutzen, um den Benutzerverkehr zu monetarisieren.

Die Einrichtung eines Parking-Services ist einfach und erfordert nur, dass Domaininhaber ihre Name-Server (NS)-Einträge auf den Parking-Service verweisen. Im Gegenzug präsentieren Parking-Dienste den Besuchern entweder eine Liste mit Werbeanzeigen oder leiten die Benutzer automatisch auf die Webseiten der Inserenten um. Im ersten Fall werden Domaininhaber und Parking-Services bezahlt, wenn ein Benutzer auf eine Anzeige klickt, während sie im zweiten Fall pro Benutzerbesuch bezahlt werden. Einige Domaininhaber kaufen große Mengen an Domainnamen als Investition, um sie später gewinnbringend weiterzuverkaufen oder um den Benutzerverkehr zu monetarisieren. Wie aus früheren Forschungsstudien und diesem Blog hervorgeht, können geparkte Domains eine erhebliche Bedrohung für Endbenutzer darstellen. Aus diesem Grund und wegen ihres fragwürdigen Nutzens ist es möglicherweise am besten, geparkte Domains zu blockieren.

Palo Alto Networks hat eine umfassende Pipeline zur Verfolgung neu geparkter Domains und zur Veröffentlichung der Erkennungsergebnisse für die URL-Filterung bereitgestellt. Kürzlich hat Palo Alto Networks diese Kategorie auch in DNS Security eingeführt. Die Pipeline mit den entsprechenden Maßnahmen umfasst:

  1. Überwachung bekannter geparkter Serviceprovider und deren Infrastruktur.
  2. Verfolgung von Domainregistrierungen und passiven DNS-Abfragen sowie Durchführung von Reverse-DNS-Lookups.
  3. Durchsuchen von Website-Inhalten.
  4. Einsatz von maschinellem Lernen, um mehrere Merkmale zu kombinieren und zu klassifizieren, ob eine Domain geparkt ist.

Schlussfolgerung

Zusammenfassend lässt sich sagen, dass geparkte Domains Benutzer Bedrohungen aussetzen können, da sie Besucher auf böswillige oder unerwünschte Landingpages umleiten oder in Zukunft vollends böswillig werden können. Die beste Sicherheitspraxis für Unternehmen besteht darin, geparkte Domains genau im Auge zu behalten, während Privatnutzer darauf achten sollten, dass sie Domainnamen korrekt eingeben, und vor dem Besuch einer Website überprüfen sollten, ob die Domaininhaber vertrauenswürdig sind.

www.paloaltonetworks.de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Emotet
Okt 31, 2020

Emotet gefährdet Netzwerke weltweit

Die Security-Community beschäftigt sich seit 2014 mit der wandelbaren Ransomware. Das BSI…
Cyber Warfare
Okt 30, 2020

Cyber Warfare: US-Militär gelingt Schlag gegen Trickbot-Botnetz

Die vom United States Cyber Command durchgeführte Operation war offensichtlich ein…
Email Virus
Sep 01, 2020

Emotet meldet sich mit weiteren Sprachen und QBot-Malware zurück

Vor wenigen Wochen erst konnte Proofpoint die Rückkehr der Hackergruppe TA542 (Threat…

Weitere Artikel

Sicherheit

DDos-Angriffe verhindern mit Zero Trust

Dass DDoS-Attacken nach wie vor zu den beliebtesten Angriffsmethoden von Cyberkriminellen zählen, liegt zum großen Teil an der Einfachheit, den geringen Kosten und der Anonymität solcher Angriffe.
Cyberattack

Schadprogramm IceRat hat es auf Nutzerpasswörter und illegales Coin-Mining abgesehen

Die Schadsoftware IceRat spioniert die Zugangsdaten von Nutzern für verschiedene Online-Dienste aus und kann bei einer Infektion ungewollt die Stromrechnung von Anwendern in die Höhe treiben - durch verdecktes illegales Coin-Mining.
Cyberattacke

Weitere Verdopplung der Cyberattacken im dritten Quartal

Im dritten Quartal des Jahres mussten die Cyber-Defense-Spezialisten aus Bochum fast doppelt so viele Cyber-Angriffe wie im zweiten Quartal 2020 abwehren. Mit großen Kampagnen attackieren Angreifer sowohl private Rechner, als auch Firmennetzwerke. Besonders…

Digitale Sicherheit in der Vorweihnachtszeit

Mitte 2020 hat das Cybereason Research Team eine aktive Malware-Kampagne entdeckt, die brasilianische Kunden von MercadoLivre, einem der größten Online-Markplätze Lateinamerikas, ins Visier genommen hat.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!