Entschlüsselung der Tricks: Eine Analyse der Gift-Domänen in der SubdoMailing-Attacke

Bei Red Sift haben wir SubdoMailing – ein Angriff zur Übernahme von Domains, der erstmals im Februar 2024 entdeckt wurde – genau beobachtet. Böswillige Akteure nutzten schlecht gepflegte DNS-Einträge aus, um betrügerische E-Mails zu versenden, die sich als legitime Marken ausgaben.

Wir haben die betroffenen Unternehmen in unserem Kundenstamm identifiziert und das Problem für alle betroffenen Benutzer innerhalb von 72 Stunden behoben.

Der Angriff wurde Berichten zufolge von einer einzigen Gruppe israelischer Hacker durchgeführt, die Spam-Mails versendeten, die die Leser auf gefälschte Websites leiteten, um Werbeeinnahmen zu generieren. Seit Februar haben wir unsere eigenen Analysen des Angriffs durchgeführt und glauben, dass mehrere Gruppen SudboMailing nutzen, um betrügerische E-Mails im Namen legitimer Marken zu versenden.

Lassen Sie uns in die Untersuchung eintauchen.

Muster in Domain-Namen

Durch die Analyse verschiedener Signale haben wir einen umfangreichen Datensatz vergifteter Domänen zusammengestellt – oder Domänen, die im DNS legitimer Marken enthalten sind und von bösartigen Akteuren ausgenutzt wurden. In diesem Artikel werden unsere Erkenntnisse aus einer umfassenden Analyse einer Stichprobe von 6.225 Domänen vorgestellt, von denen 4.527 noch aktiv sind. Jede aktive Domäne enthält eine Liste von IP-Bereichen in ihrem SPF-Eintrag, die IPs umfassen, die rekursiv aus „Include“-Anweisungen abgerufen werden.

Diese vergifteten Domains sind erst kürzlich registriert worden. Die Angreifer haben verschiedene Strategien, um sie zu benennen. Wir heben die folgenden 4 Strategien hervor und führen einige Beispiele auf, die wir bei unserer Analyse entdeckt haben.

1. Nachahmung: Nachahmung beliebter Marken und Dienste

Bei dieser Strategie nutzten die Angreifer eine Tippfehler-Squatting-Strategie. Sie registrierten Domänen, die beliebten Marken oder Diensten ähnelten, die im DNS einer Organisation falsch eingegeben worden sein könnten, und erhielten so die Möglichkeit, im Namen der Organisation E-Mails zu versenden. Die Liste ist umfangreich, aber hier sind nur einige Beispiele, die wir entdeckt haben.

Big brands

Google
- ghs.gglehosted.com
- ghs.googlehoste.com
- ghs.google-hosted.com
- ghs.google hosted.co

Microsoft
- clientconfig.microsofonline-p.net
- clientconfig.microsoftoneline-p.net
- clientconfig.microsoftonlie-p.net

Amazon
- amazoses.com
- amasonses.com
- amazanpro.in

Marketo: 97 domains with the following format
- mkto-ab010016.com
- mkto-ab020157.com
- mkto-ab030101.com

Shopify
- xmyshopify.com
- shopsmyshopify.com

Email/Internet-related brands

HubSpot
- hubspotemails.net
- 26282125hubspotemail.net

Mailjet
- spfmailjet.com
- spf-mailjet.com

Barracuda Networks
- barracudaneworks.com

SendGrid
- sendgrd.net
- sengdrid.net
- sengride.net

Squarespace
- squaresspace.info
- sqaurespace-mail.com

General internet services

Nameserver
- onestopsocial.media.atnameserver.icu
- luxuryvilla.ru.atnameserver.icu

2. Wortkombinationen: Generierung von Domains aus englischen Begriffen

Bei dieser Strategie ist ein Domänenname eine Verkettung einiger englischer Wörter. Die Anzahl der Wörter variiert, liegt aber zwischen 2 und 4. Wenn die Wörter willkürlich aus einem Wörterbuch ausgewählt werden, ist es unwahrscheinlich, dass sie zusammengesetzt einen Sinn ergeben. Bei unserer Analyse haben wir festgestellt, dass 2-Wort-Domains zwar seltsam klingen, aber die meisten 3-4-Wort-Domains durchaus einen Sinn ergeben.

ailplug.com, chancecolon.com, woundfraction.com
bestdinnerideas.com, connectviaweb.com, fastcashloans.me
air-conditioner-with-heater.com, simplythebestevent.co.uk, workfromhomedigital.com

3. Wortmutationen: Abwandlung ungewöhnlicher englischer Wörter

Der Prozess beginnt mit einem Basiswort und fügt dann einen oder zwei Buchstaben hinzu, entfernt oder ersetzt sie, um eine Tippfehler-Version zu erstellen, die die Chance auf eine erfolgreiche Domainregistrierung erhöht. Einige Beobachtungen:

Die meisten Domänenlängen liegen bei etwa 10, plus/minus 2.
Die Wörter sind oft selten oder werden in wissenschaftlichen Bereichen wie der Medizin verwendet.

Examples:

chromatop (chromatope), despoliat (despoilate), hypnophob (hypnophobia)
mancipator (emancipator), ntecedency (antecedency), riminogenic (criminogenic)
pelalagrin (pelaggrin), demaguogies (demagogues), mainvbstream (mainstream)

4. Subtile Muster: Generierung halbzufälliger Domänennamen

Eine große Anzahl von Domains sieht nicht völlig zufällig aus, sondern es gibt subtile Muster.

Beispiele:

Including numbers: 139come.com, 1paket.net, 20xx.gg
Abbreviation: mailsvrc3.com, mccsv.net, mfka.at
Non-English: benghalensis.com, juani.me, luezhaoxun.com

Wir haben zwei bemerkenswerte Beobachtungen gemacht

In einem SPF-Lookup-Baum ist ein Blattknoten eine Domain, die IPs explizit in ihrem SPF-Datensatz angibt, während ein Zwischenknoten eine Domain ist, die den Include-Mechanismus verwendet. Die Mehrheit (56/59) der Domänen, die als Beispiele für Strategie 1 (beliebte Marken und Dienste) aufgeführt sind, sind Zwischenknoten. Zu diesen Zwischenknoten gehören andere Domänen, die anscheinend durch Wortkombinationen (Strategie 3) oder weniger offensichtliche Muster (Strategie 4) generiert werden. Unten sehen Sie die SPF-Bäume für ghs.google-hosted.com und clientconfig.microsoftonline-p.net. Alle Knoten auf der rechten Seite der Abbildungen sind Blattknoten mit expliziten IP-Mechanismen in ihren Datensätzen.

Die zweite Beobachtung betrifft Bereiche, die durch die Mutation englischer Wörter entstehen (Strategie 3).

Alle diese Bereiche sind Blattknoten.
Sie sind nicht in anderen Domänen enthalten und existieren als flache Strukturen.
Die SPF-Datensätze für diese Domänen enthalten im Vergleich zu anderen Domänen in der Regel eine sehr geringe Anzahl von IP-Adressen. Normalerweise enthalten sie bis zu 8 IP-Adressen, mit einigen wenigen Ausnahmen, die 256 IP-Adressen enthalten (ein /24-Subnetz).

Das Wichtigste zum Mitnehmen: Diese Domänen unterscheiden sich in mehrfacher Hinsicht erheblich von den anderen, so dass sie wahrscheinlich zu einer separaten Gruppe von Angreifern gehören.

Untersuchung gemeinsam genutzter IP-Adressen

Bei unserer Analyse von 4.527 aktiven Domänen konnten wir nur 938 eindeutige SPF-Einträge feststellen. Dies deutet darauf hin, dass viele Domänen entweder identische SPF-Datensätze verwenden oder erhebliche Überschneidungen bei den IP-Adressen aufweisen. Unser Ziel ist es, die Muster der gemeinsamen Nutzung von IP-Adressen in unseren gesammelten Daten weiter zu untersuchen und darzustellen.

Extraktion von IP-Adressen aus SPF-Einträgen

Um IPs aus SPF-Einträgen zu extrahieren, gingen wir folgendermaßen vor:

Bei Datensätzen, die explizite IPs enthalten, ist der Prozess einfach (z. B. v=spf1 1.2.3.4/30).
Bei Datensätzen, die den Include-Mechanismus verwenden, haben wir die eingeschlossenen Domänen rekursiv aufgelöst, um alle zugehörigen IPs zu erfassen (z. B. v=spf1 include:domain1.com include:domain2.com).

Visualisierung des Domänennetzwerks

Von dort aus können wir ein Netzwerk von Domänen aufbauen, wobei ein Knoten eine Domäne oder eine Gruppe von Domänen ist, die denselben SPF-Eintrag haben. Zwei Knoten haben eine Verbindung, wenn sie einige IPs gemeinsam haben.

Die Größe des Knotens gibt die Anzahl der Domänen an, die denselben SPF-Eintrag haben. Die größte Gruppe in unserem Datensatz umfasst 399 Domänen mit dem SPF-Eintrag v=spf1 include:countrymessage.com include:whenstocks.com -all.
Die Kantengröße gibt die Anzahl der IPs an, die sich zwei Domänengruppen teilen.
Die Farbe der Knoten stellt Cluster dar, bei denen Knoten innerhalb desselben Clusters im Vergleich zu Knoten in anderen Clustern stärkere Verbindungen aufweisen. Einzelheiten zum Clustering werden später erläutert.

Vereinfachung des Netzwerks für mehr Klarheit

Um die Übersichtlichkeit zu erhöhen und sich auf wichtige Verbindungen zu konzentrieren, wenden wir mehrere Verfahren an:

Zusammenführen von sich überschneidenden Domänen: Domänen mit sich stark überschneidenden IP-Adressen werden zusammengelegt.
Visualisierung der größten Komponente: Die meisten Domains sind über verschiedene Hops miteinander verbunden. Wir zeigen nur die größte verbundene Komponente an.
Filterung schwacher Verbindungen: Kanten, die weniger als 128 gemeinsame IPs repräsentieren, werden entfernt, wodurch das „starke“ Netzwerk hervorgehoben wird.

Das Verständnis von Clustern

Lokale dichte Verbindungen

Zur Identifizierung von Clustern haben wir einen Algorithmus zur Erkennung von Gemeinschaften verwendet. Jeder Cluster zentriert sich um eine große Domänengruppe (große Knoten), die in der Regel Zwischendomänen umfasst. Diese Intermediate-Domains können rekursiv andere Intermediate- oder Leaf-Domains einschließen und so dichte Cluster bilden. Leaf-Domains können IPs mit denjenigen in anderen Clustern teilen und so die Cluster miteinander verbinden.

Cluster sind im Hinblick auf die gemeinsame Nutzung von IP sinnvoll. Aber welche anderen Merkmale weisen diese Cluster auf?

Generierung von Domänennamen

Cluster bestehen aus einer Mischung aus Zwischen- und Blattdomänen. Bemerkenswert ist, dass die 59 Markendomänen über alle Cluster verteilt sind. Domains, die durch Wortmutation erzeugt wurden, sind in dieser Visualisierung nicht sichtbar, da sie nur wenige IPs enthalten und herausgefiltert werden.

Autonome Systemnummer (ASN)

Eine ASN (Autonomous System Number) ist eine eindeutige Kennung, die jedem autonomen System (AS) im Internet zugewiesen wird. Ein AS ist eine Sammlung von IP-Netzwerken und Routern, die von einer einzigen Organisation verwaltet werden, die eine gemeinsame Routing-Politik verfolgt. Unsere Analyse zeigt, dass die ASNs ungleichmäßig über verschiedene Cluster verteilt sind, was auf unterschiedliche organisatorische Kontrollen des gesamten Angriffs hinweist.

Cluster	Top ASN 1	Top ASN 2	Top ASN 3
1	IONOS SE (10.32%)	Xiamen (9.56%)	AS-CHOOPA (7.36%)
2	IONOS SE (54.13%)	Shenzhen Tencent Computer Systems Company Limited (14.18%)	Scaleway S.a.s. (10.64%)
3	AS-COLOCROSSING (11.10%)	velia.net Internetdienste GmbH (6.01%)	MEVSPACE sp. z o.o. (3.43%)
4	Teknet Yazlim Ve Bilgisayar Teknolojileri (15.78%)	Unidentified (11.39%)	ASN-QUADRANET-GLOBAL (8.84%)
5	Locaweb Servicos de Internet SA (24.46%)	AMAZON-02 (24.04%)	Dattatec.com (13.37%)
6	Unidentified (14.37%)	EZZI-101-BGP (6.88%)	velia.net Internetdienste GmbH (6.59%)

Wie geht es jetzt weiter?

Die Analyse eines komplexen Angriffs wie SubdoMailing ist kein einfaches Unterfangen. Unsere Untersuchungen deuten jedoch darauf hin, dass SubdoMailing lediglich eine Taktik ist, die von Gruppen auf der ganzen Welt verwendet wird, um Spam zu versenden und sich als legitime Marken auszugeben.

Wir arbeiten weiterhin mit anderen Unternehmen der Branche zusammen, um die Verbreitung des Angriffs besser zu verstehen, und werden Sie in regelmäßigen Abständen auf dem Laufenden halten.

Wenn Sie wissen möchten, ob Ihre Marke von SubdoMailing betroffen ist, können Sie den SPF Checker von Red Sift ausprobieren. Außerdem haben wir kürzlich DNS Guardian angekündigt – eine neue Funktion in Red Sift OnDMARC, mit der Sicherheitsteams Domainübernahmen, die zu Spam führen, schnell erkennen und stoppen können.