Domain Shadowing
Was ist Domain Shadowing?
Domain ShadowingAngriff, bei dem ein Kriminelle den Registrar-Account eines legitimen Domaininhabers kompromittiert und unbemerkt boesartige Subdomains unter der vertrauenswuerdigen Hauptdomain anlegt.
Domain Shadowing nutzt gestohlene Registrar- oder DNS-Hosting-Zugaenge. Statt eine neue verdaechtige Domain zu registrieren, meldet sich der Angreifer am Panel des Opfers an und legt unbemerkt hunderte Subdomains wie login.acme.example.com oder invoice42.acme.example.com an, die auf seine Infrastruktur aufloesen. Da die Hauptdomain alt, gut beleumdet und scheinbar unveraendert ist, erben die Subdomains deren Reputation und umgehen URL-Reputationsfilter, Mail-Gateways und TLS-Warnungen oft muehelos. Exploit-Kit-Betreiber (Angler, RIG) und Phishing-Banden haben es eingesetzt. Schutz: starke MFA fuer Registrar-Konten, Registry-Lock, DNS-Aenderungsmonitoring und ausgehende Web-Filter, die Hostnames zerlegen und neu beobachtete Subdomains pruefen.
● Beispiele
- 01
Cisco Talos dokumentierte Angler-Kampagnen, die tausende shadowed Subdomains rotierten.
- 02
Phishing-Banden hosten Credential-Harvesting-Seiten auf shadowed Subdomains bekannter Mittelstaendler.
● Häufige Fragen
Was ist Domain Shadowing?
Angriff, bei dem ein Kriminelle den Registrar-Account eines legitimen Domaininhabers kompromittiert und unbemerkt boesartige Subdomains unter der vertrauenswuerdigen Hauptdomain anlegt. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet Domain Shadowing?
Angriff, bei dem ein Kriminelle den Registrar-Account eines legitimen Domaininhabers kompromittiert und unbemerkt boesartige Subdomains unter der vertrauenswuerdigen Hauptdomain anlegt.
Wie funktioniert Domain Shadowing?
Domain Shadowing nutzt gestohlene Registrar- oder DNS-Hosting-Zugaenge. Statt eine neue verdaechtige Domain zu registrieren, meldet sich der Angreifer am Panel des Opfers an und legt unbemerkt hunderte Subdomains wie login.acme.example.com oder invoice42.acme.example.com an, die auf seine Infrastruktur aufloesen. Da die Hauptdomain alt, gut beleumdet und scheinbar unveraendert ist, erben die Subdomains deren Reputation und umgehen URL-Reputationsfilter, Mail-Gateways und TLS-Warnungen oft muehelos. Exploit-Kit-Betreiber (Angler, RIG) und Phishing-Banden haben es eingesetzt. Schutz: starke MFA fuer Registrar-Konten, Registry-Lock, DNS-Aenderungsmonitoring und ausgehende Web-Filter, die Hostnames zerlegen und neu beobachtete Subdomains pruefen.
Wie schützt man sich gegen Domain Shadowing?
Schutzmaßnahmen gegen Domain Shadowing kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Domain Shadowing?
Übliche alternative Bezeichnungen: Subdomain-Shadowing.
● Verwandte Begriffe
- attacks№ 407
Fast Flux
DNS-Technik von Botnetzen, die die hinter einer boesartigen Domain liegenden IP-Adressen schnell ueber viele kompromittierte Hosts rotiert, um Takedowns und Blocking zu erschweren.
- attacks№ 348
Domain Generation Algorithm (DGA)
Von Malware verwendeter Algorithmus, der deterministisch grosse Mengen moeglicher Domainnamen erzeugt, damit infizierte Hosts ihren Command-and-Control-Server finden koennen.
- attacks№ 821
Phishing
Ein Social-Engineering-Angriff, bei dem sich der Angreifer als vertrauenswürdige Stelle ausgibt, um Opfer zur Preisgabe von Zugangsdaten, Geldüberweisungen oder zur Ausführung von Schadsoftware zu verleiten.
- attacks№ 338
DNS Hijacking
Angriff, der die DNS-Auflösung auf vom Angreifer kontrollierte Antworten umlenkt, indem Client-Einstellungen, Router-Konfigurationen, Resolver-Antworten oder autoritative DNS-Records geändert werden.
- attacks№ 1184
Typosquatting
Registrieren von Domain- oder Paketnamen, die Tipp- oder Sichtfälschungen legitimer Namen sind, um Nutzer und Entwickler abzufangen, die sich vertippen oder verlesen.