„IP-Use-After-Free“ Attacken Wenn Lookalike-Domains mehr sind, als täuschend echte Kopien

Cyberkriminelle nutzen gerne „Lookalike Domains“, die fast wie der Original Domainname aussehen, um ihre Opfer auf schadhafte Webseiten zu leiten. Doch es geht noch gefährlicher, denn bei sogenannten „IP Use After Free“-Attacken sehen die Domains nicht mehr nur legitim aus, sondern waren es sogar einmal.

Hacken ist keine rein technische Fähigkeit. Angreifer, die sich nicht durch starke Passwörter bruteforcen wollen oder Zwei-Faktor-Authentifizierungen umgehen möchten, setzen schon lange auf das sogenannte Social Engineering. Hierbei werden die Opfer mit möglichst echt aussehenden Mails und/oder Websites dazu verleitet, eine schadhafte Payload downzuloaden oder ihre Login-Daten preiszugeben. Damit umgehen die Angreifer viele nervige Sicherheitsvorkehrungen. Sogenannte Lookalike Domains – also URLs, die auf den ersten Blick aussehen wie legitime Domains – helfen den Hackern dabei. Doch inzwischen haben die Angreifer noch eine bessere Option: Mit sogenannten „IP Use After Free“-Attacken erhalten Sie Zugriff auf Domains, die nicht nur täuschend echt aussehen. Durch veraltete DNS-Records sind sie quasi auch noch legitim. Doch was ist der Unterschied zwischen Lookalike Domains und den „IP Use After Free“-Domains? Und was können Security-Teams tun, um sich vor der neuen Gefahr zu schützen?

Lookalike Domains – der Wolf im Schafspelz

Lookalike Domains, die fast wie das Original aussehen, unterscheiden sich meist nur in kleinsten Details, die auf den ersten Blick fast nicht zu erkennen sind. So wollen die Angreifer ihre Opfer auf schadhafte Webseiten leiten. Beliebt sind beispielsweise URLs großer Unternehmen wie Paypal. Denn die Wahrscheinlichkeit, dass das Opfer einen Paypal-Account hat, ist groß. Und da ist natürlich der erste Schritt, dass das Opfer überhaupt auf den Fake hereinfallen kann. Hier ist schnell das kleine L durch ein großes I ersetzt – und schon sieht die URL auf den ersten Blick echt aus. Wenn nun auch noch die dazugehörige Mail gut gefälscht ist, fallen Opfer in einem unvorsichtigen Moment schnell auf die Angreifer herein. Und mit etwas Unicode geht den Hackern das Nachbauen von URLs noch leichter von der Hand: Unicode ist ein wichtiger Standard für die konsistente Darstellung von Text in verschiedensten Schriftsystemen. So können beispielsweise Kyrillisch, Koptisch, Mongolisch oder 136 weiteren Schriften richtig dargestellt werden. Mit insgesamt über 136.000 Unicode-Zeichen, die den Kriminellen zur Verfügung stehen, um Domain Namen zu erstellen, bietet es aber leider auch viele Möglichkeiten, URLs sehr ähnlich aussehend zu gestalten. Allein für den Buchstaben O finden sich in Unicode 10 ähnlich aussehende Buchstaben. Wenn Angreifer beispielsweise unseren Firmennamen „Infoblox“ nachbauen möchten, stehen ihnen über 829 Millionen Kombinationsmöglichkeiten von Unicode-Zeichen zur Verfügung. Ein gefundenes Fressen für die Kriminellen.

Damit wird klar, warum auch in der Praxis Mitarbeiter nach wie vor das Einfallstor Nummer 1 für Cyberkriminelle sind. Das bestätigt auch wieder unser „Global State of Security Report 2022“. Ein unbedachter Klick und schon ist der Schaden entstanden. Je besser das die Tarnung der Kriminellen als legitimer Kontakt ist, desto gefährlicher wird dieser Angriffsvektor für die Unternehmens-IT. Bisher konnten die Cybersicherheits-Experten noch darauf hoffen, dass die User mit dem Cursor, ohne zu klicken, über den Link hovern. Dieses sogenannte Mouseover zeigt an, auf welche URL der Link verweist und hilft bei der Einschätzung, ob es sich generell um eine legitime Adresse handelt. Auch die URL in die Adresszeile des Browsers zu kopieren, kann beim Erkennen von Lookalike Domains helfen. Denn dies zeigt die Adresse im sogenannten „Punycode“ an. Dieser wurde entwickelt, um den Unicode durch die eingeschränkten ASCII-Symbole, darzustellen. Wird auf diese Art beispielsweise die URL „myorganization.com“ als „xn—morganization-i9k.com“ angezeigt, wissen User, dass nicht das normale Y benutzt wurde. Da aber auch die deutschen Umlaute international zu seltsam aussehenden URLs führen, ist nicht jeder seltsame Punycode auch gefährlich.

„IP Use After Free”-Attacken – Das nächste Level der Lookalike Domains

Doch es geht noch gefährlicher für User. Denn bei sogenannten „IP Use After Free“-Attacken sehen die Domains nicht mehr nur legitim aus, sondern waren es sogar einmal. Und durch veraltete DNS-Records können Kriminelle sogar an wichtige Sicherheitszertifikate gelangen. Aber wie funktioniert das genau? Ein Unternehmen möchte beispielsweise schnell die neueste Version eines bestimmten Programms auf einer temporären virtuellen Maschine in der Cloud testen. Sobald alles läuft, wird die virtuelle Maschine wieder abgeschaltet und das Programm in der Live-Umgebung umgesetzt. Wenn die Verknüpfung der IP-Adresse mit der Domain nicht gelöscht wird, können Kriminelle versuchen, bei dem Cloud Provider genau diese IP-Adresse zugewiesen zu bekommen. Mit der legitimen Historie und der noch bestehenden Zuweisung zu einer legitimen Domain können die Kriminellen aktuelle Sicherheitszertifikate abgreifen und Phishing-Webseiten bauen, denen selbst die vorsichtigsten User und auch Sicherheitsprogramme vertrauen.

Aber die Sicherheitsteams in den Unternehmen sind dieser Form der echt aussehenden Fälschungen nicht schutzlos ausgeliefert. Dafür muss man aber zwischen zwei Szenarien unterscheiden: Den Schaden für den Domaininhaber und den Schaden für die Nutzer. Denn es ist ein Unterschied, ob die eigene Domain proaktiv davor geschützt werden muss, für schadhafte Zwecke missbraucht zu werden, oder ob es darum geht, den Schaden zu begrenzen, nachdem ein Mitarbeiter auf solch einer schadhaften Seite war. In beiden Fällen ist aber Netzwerkübersicht und einfaches Management über moderne DNS-, DHCP- und IP-Adress-Management- (DDI) Tools der Schlüssel zum Erfolg. Diese können inzwischen sogar automatisiert verwaiste DNS-Einträge bereinigen (das sogenannte DNS-Scavenging) und sorgen so dafür, dass keine DNS-Records übersehen und vergessen werden, die dann von den Kriminellen für ihre Zwecke missbraucht werden können.

Als Domaininhaber ist es wichtig, regelmäßig zu schauen, ob alle URL und IP-Zuweisungen noch aktuell sind und veraltete Einträge zu löschen. Je länger der Abgleich dauert und je seltener dies geschieht, desto länger steht das Tor der veralteten DNS-Aufzeichnungen für Angreifer offen. Die nötige Einsicht in das eigene Netzwerk liefern moderne IP-Adress-Management (IPAM)-Lösungen. Mit diesen kann teils automatisiert nach veralteten Zuweisungen gesucht werden, so dass die Mitarbeiter ihre IP-Adress-Bereiche unkompliziert direkt im Blick haben. Best Practices aus unserem Arbeitsalltag zeigen, dass solche Lösungen in kürzester Zeit (teilweise nur ein bis zwei Tage) während des laufenden Betriebs und ohne Downtime implementiert werden können.

Moderne IP-Adress-Management-Lösungen sind aber nicht nur dafür gut, zu verhindern, dass die eigene Domain aufgrund veralteter DNS-Aufzeichnungen für schadhafte Zwecke gekapert wird. Der Dreiklang der DDI (DNS, DHCP und IPAM)-Netzwerkbasisdienste ist auch für den Schutz des Netzwerks nützlich, wenn der Schaden angerichtet ist, weil beispielsweise Mitarbeiter auf vertrauenswürdigen, aber doch maliziösen Websites besucht haben. Denn während es fast unmöglich erscheint gutes Phishing zu verhindern, kann gute DDI und DNS-Security helfen, die Zeit zu verkürzen, bis die Angreifer entdeckt und aus dem Netzwerk verbannt worden sind. Eine gute und moderne DDI-Lösung kann Router, Switches und Load Balancer (also alle Layer-2 und Layer-3 Geräte) zentral und unkompliziert erfassen und so Sichtbarkeit im Netzwerk bieten. Die Integration von DDI-Metadaten in den Sicherheits-Stack eines Unternehmens kann hierbei dazu beitragen, Hacker eben so früh wie möglich zu erkennen, da so der Datenverkehr und das Verhalten jedes Geräts im Netzwerk sichtbar sind. Darüber hinaus kann die Nutzung von DNS für die Sicherheit die Aufklärung verbessern, da mehr als 90 % der Malware auf ihrem Weg in und aus dem Netzwerk das DNS passiert. Somit kann eine gut konfigurierte DNS-Sicherheitslösung die schadhafte Kommunikation direkt an der Wurzel erkennen und helfen direkt die richtigen Maßnahmen zu ergreifen, bevor schlimmeres passiert.

Fazit

Vertrauenswürdige Webseiten durch „IP Use After Free“-Attacken sind die perfide Weiterentwicklung der Lookalike Domains. Und je besser die Fakes werden, desto schneller klicken User auch auf schadhafte Links. Dagegen wird es so schnell keine Lösung geben. Wer aber auf moderne, automatisierte DDI-Lösungen setzt, erhält wichtige Einsichten ins eigene Netzwerk und kann die Angreifer schnellstmöglich erkennen und aus dem System werfen, bevor sie Schaden anrichten.

Über den Autor

Steffen Eid ist Manager Solution Architects bei Infoblox.

(ID:49452140)