Anzeige

Hacker

Domain-Parking-Dienste bieten eine einfache Lösung für Domaininhaber, den Verkehr ihrer Websites durch Werbung Dritter zu monetarisieren. Während Domain Parking auf den ersten Blick harmlos erscheinen mag, stellen geparkte Domains eine erhebliche Bedrohung dar, da sie Besucher auf böswillige oder unerwünschte Landingpages umleiten oder zu jedem Zeitpunkt völlig bösartig werden können.

Die Forscher von Palo Alto Networks stellen geparkte Domains seit mehr als neun Jahren fest. Von März bis September 2020 haben sie fünf Millionen neu geparkte Domains identifiziert. Im gleichen Zeitraum haben die Forscher beobachtet, dass sechs Millionen geparkte Domains in andere Kategorien übergegangen sind. Von den vorübergehend geparkten Domains wechselten 1,0 Prozent zu bösartigen Kategorien (wie Phishing oder Malware), 2,6 Prozent zu Kategorien, die nicht mit der Arbeit vereinbar sind (wie Erwachseneninhalte oder Glücksspiele), und 30,6 Prozent zu verdächtigen Kategorien (fragwürdig oder mit hohem Risiko). Im Vergleich zu einer gutartigen Domain (wie Internet-Informationen oder -Shopping) hat eine geparkte Domain eine achtmal höhere Wahrscheinlichkeit, ihre Kategorie in eine der oben genannten nicht gutartigen Kategorien zu ändern.

Zu den wichtigsten Ergebnissen gehören:

  • Verfolgung der Web-Aktivitäten von Benutzern: Palo Alto Networks beobachtete Angreifer, die die Domain peoplesvote[.]uk im Zusammenhang mit den aktuellen US-Präsidentschaftswahlen missbrauchten. Die Benutzer werden auf eine Umfrage-Website weitergeleitet, auf der sie nach der Wahlpräferenz für Joe Biden oder Donald Trump befragt werden. Ein Exploit-Kit erstellt im Stillen Fingerabdrücke des Browsers, um die Web-Aktivitäten der Benutzer zu verfolgen. Bemerkenswert ist, dass diese Seiten immer noch aktiv sind.
     
  • Verbreitung von Emotet über Phishing-E-Mails: Palo Alto Networks beobachtete im Rahmen einer globalen Emotet-Kampagne den bösartigen Lebenszyklus der Domain valleymedicalandsurgicalclinic[.]com, die nicht mehr aktiv ist. Während dieser Kampagne verfolgte Palo Alto Networks Angriffe gegen Unternehmen und Institutionen in verschiedenen Branchen (z.B. Bildungswesen, Regierung, Energie, Fertigung, Bauwesen, Telekommunikation) auf der ganzen Welt, darunter in den USA, Großbritannien, Frankreich, Japan, Korea und Italien. Der Angriff, der sich gegen französische Organisationen richtete, nutzte auch die globale COVID-19-Pandemie als Betreffzeile der Phishing-E-Mail aus. Keiner dieser Angriffe war erfolgreich.
     
  • Missbrauch des Partnerprogramms von McAfee: Palo Alto Networks beobachtete eine Domain, xifinity[.]com, die Benutzer auf eine manipulierte Landingpage, antivirus-protection[.]com-123[.]xyz, umleitet. Beide Domains sind derzeit aktiv. Die Landing Page versucht, den Benutzern zu vermitteln, ihr Rechner sei infiziert und ihr McAfee-Abonnement sei abgelaufen. Durch Klicken auf die Schaltfläche „Proceed“ werden Benutzer auf eine legitime Downloadseite von McAfee weitergeleitet, die ein Antiviren-Abonnement anbietet. Palo Alto Networks glaubt, dass Angreifer das Partnerprogramm von McAfee missbrauchen, um Werbeeinnahmen zu stehlen.

Domain-Parking – was dahintersteckt

Einzelpersonen und Unternehmen müssen Registrierungsstellen (ICANN-akkreditierte Domainreseller) eine jährliche Gebühr zahlen, um Domainnamen zu kaufen und Domaininhaber zu werden. Wenn Domainbesitzer keinen Inhalt oder Service haben, auf den sie ihre Domains verweisen können, können sie Parking-Services nutzen, um den Benutzerverkehr zu monetarisieren.

Die Einrichtung eines Parking-Services ist einfach und erfordert nur, dass Domaininhaber ihre Name-Server (NS)-Einträge auf den Parking-Service verweisen. Im Gegenzug präsentieren Parking-Dienste den Besuchern entweder eine Liste mit Werbeanzeigen oder leiten die Benutzer automatisch auf die Webseiten der Inserenten um. Im ersten Fall werden Domaininhaber und Parking-Services bezahlt, wenn ein Benutzer auf eine Anzeige klickt, während sie im zweiten Fall pro Benutzerbesuch bezahlt werden. Einige Domaininhaber kaufen große Mengen an Domainnamen als Investition, um sie später gewinnbringend weiterzuverkaufen oder um den Benutzerverkehr zu monetarisieren. Wie aus früheren Forschungsstudien und diesem Blog hervorgeht, können geparkte Domains eine erhebliche Bedrohung für Endbenutzer darstellen. Aus diesem Grund und wegen ihres fragwürdigen Nutzens ist es möglicherweise am besten, geparkte Domains zu blockieren.

Palo Alto Networks hat eine umfassende Pipeline zur Verfolgung neu geparkter Domains und zur Veröffentlichung der Erkennungsergebnisse für die URL-Filterung bereitgestellt. Kürzlich hat Palo Alto Networks diese Kategorie auch in DNS Security eingeführt. Die Pipeline mit den entsprechenden Maßnahmen umfasst:

  1. Überwachung bekannter geparkter Serviceprovider und deren Infrastruktur.
  2. Verfolgung von Domainregistrierungen und passiven DNS-Abfragen sowie Durchführung von Reverse-DNS-Lookups.
  3. Durchsuchen von Website-Inhalten.
  4. Einsatz von maschinellem Lernen, um mehrere Merkmale zu kombinieren und zu klassifizieren, ob eine Domain geparkt ist.

Schlussfolgerung

Zusammenfassend lässt sich sagen, dass geparkte Domains Benutzer Bedrohungen aussetzen können, da sie Besucher auf böswillige oder unerwünschte Landingpages umleiten oder in Zukunft vollends böswillig werden können. Die beste Sicherheitspraxis für Unternehmen besteht darin, geparkte Domains genau im Auge zu behalten, während Privatnutzer darauf achten sollten, dass sie Domainnamen korrekt eingeben, und vor dem Besuch einer Website überprüfen sollten, ob die Domaininhaber vertrauenswürdig sind.

www.paloaltonetworks.de
 


Artikel zu diesem Thema

Emotet
Okt 31, 2020

Emotet gefährdet Netzwerke weltweit

Die Security-Community beschäftigt sich seit 2014 mit der wandelbaren Ransomware. Das BSI…
Cyber Warfare
Okt 30, 2020

Cyber Warfare: US-Militär gelingt Schlag gegen Trickbot-Botnetz

Die vom United States Cyber Command durchgeführte Operation war offensichtlich ein…
Email Virus
Sep 01, 2020

Emotet meldet sich mit weiteren Sprachen und QBot-Malware zurück

Vor wenigen Wochen erst konnte Proofpoint die Rückkehr der Hackergruppe TA542 (Threat…

Weitere Artikel

Cyber Security

Cyberangriffen vorbeugen und Schwachstellen erkennen

Viele Unternehmen sind sich der Schwachstellen in ihren IT-Anwendungen nicht bewusst. Wenn es jedoch an kritischer Transparenz an den Endpunkten mangelt, haben Cyberkriminelle leichtes Spiel.
Hackerangriff

Kritische und industrielle Infrastrukturen: Cyber-Risiken auf Allzeithoch

Ein neuer Bericht von Nozomi Networks Labs zeigt auf, dass die Cyberbedrohungen in der ersten Hälfte des Jahres 2021 mit alarmierender Geschwindigkeit zugenommen haben. Die Angriffe werden großenteils durch die neuen Ransomware-as-a-Service…
Virus

Einer von vier E-Mail-Kompromittierungsangriffen nutzt Lookalike-Domains

Die neuesten Daten zu BEC-Betrügereien zeigen, wie böswillige Akteure eine Mischung aus Gmail-Konten, einer Zunahme gestohlener Überweisungen und einer Verlagerung auf Lohnabzweigungen nutzen.
Hacker

Cyberkriminelle wollen Kapital aus dem Thema Steuern schlagen

Erneut versuchen Cyberkriminelle sich weltweit die anstehenden Steuererklärungen vieler Bürger und Unternehmen zunutze zu machen, um Login-Daten zu entwenden und Schadsoftware zu verbreiten.
Hackerangriff

Colonial Pipeline-Hack: Das Stromnetz wurde nicht angegriffen – noch nicht...

Der Colonial Pipeline-Hack war auch insofern bemerkenswert, als dass er der bisher bedeutsamste Ransomware-Angriff auf ein US-Energietransportsystem war, im Gegensatz zu einem reinen Kraftstoffanbieter wie Exxon.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.