Leitfaden für die SubdoMailing-Kampagne

Eine beträchtliche Anzahl bekannter Organisationen wurde im Rahmen der so genannten SubdoMailing (Subdo)-Kampagne angegriffen, die seit mindestens 2022 läuft, wie Untersuchungen von Guardio Labs ergeben haben.

Das Ausmaß der Ausführung dieses Angriffs ist atemberaubend, und die Auswirkungen sind enorm, aber das Ziel ist einfach – den Opfern E-Mails von vertrauenswürdigen Markennamen zu schicken, um sie zum Handeln zu verleiten. Dieser komplexe Angriff nutzt menschliche und technische Schwachstellen im Domain Name System (DNS), dem Rückgrat des Internets, aus.

Bisher hat die Kampagne jeden Tag mindestens 5 Millionen E-Mails von mehr als 8.000 kompromittierten Domänen und 13.000 Subdomänen verschickt. Doch wie funktioniert der Angriff, welchen Schaden hat er angerichtet, und wie kann man sich jetzt und in Zukunft davor schützen?

So funktioniert der SubdoMailing-Angriff

Bei dieser Kampagne werden bösartige Mails, in der Regel authentifiziert, von Domänen und Subdomänen versandt, die durch drei verschiedene Arten der Domänenübernahme kompromittiert wurden. Im Folgenden wird anhand von drei verschiedenen Szenarien aus meiner fiktiven Arbeitsgeschichte erläutert, wie der Angriff in der Praxis funktioniert.

Übernahme einer Markendomain

Nehmen wir an, ich habe vor langer Zeit beschlossen, ein Katzenfuttergeschäft mit dem Namen „Billy’s Fresh Cat Food“ zu gründen. Ich registrierte die Domäne billysfreshcatfood.com, um sie für mein ehrgeiziges Vorhaben zu nutzen. Da ich über ein großes Budget verfügte, beschloss ich, etwas Geld in ein bekanntes und vertrauenswürdiges Werbenetzwerk „Del’s Ads“ zu investieren. Für dieses Beispiel verwenden sie die Domain delsads.com. Für die Kampagne richtete das Werbenetzwerk den CNAME „billysfreshcatfood.delsads.com“ auf „billysfreshcatfood.com“ ein.

Die Kampagne lief gut, aber leider war der Markt nicht bereit für mein tolles Katzenfutter. Also ging das Unternehmen unter, und die Domänenregistrierung lief ab. Aber das Werbenetzwerk wusste nicht, dass sie abgelaufen war, und entfernte meine Domäne nicht aus ihrer DNS-Konfiguration, wodurch ein hängender DNS-Eintrag entstand.

Zehn Jahre vergehen. Mithilfe von passivem DNS fand ein böser Akteur heraus, dass die Subdomain immer noch im DNS auf „billysfreshcatfood.com“ zeigte. Sie haben dann meine abgelaufene Domäne „billysfreshcatfood.com“ neu registriert, sie für den E-Mail-Versand konfiguriert und das DNS mit aktualisierten Authentifizierungseinträgen aktualisiert. Dies ist nun eine vergiftete Domäne.

Die Subdomäne fungiert weiterhin als Alias für die neu registrierte Domäne. Das bedeutet, dass die Subdomäne die SPF-Richtlinie der Domäne erbt, die sich jetzt wieder im DNS befindet. Jetzt könnte der böse Akteur also E-Mails als das vertrauenswürdige Werbenetzwerk „Dels Ads“ unter Verwendung des CNAME „billysfreshcatfood.delsads.com“ versenden.

Übernahme einer in SPF verwendeten Domain

Nachdem mein Geschäft mit Katzenfutter nicht so richtig in Schwung gekommen war, gründete ich „Billy’s Trees“-billystrees.com – und verkaufte überteuerte Katzenkratzbäume an Millennials. Dieses Mal war es ein großer Erfolg.

Ich beschloss, das Geschäft auszubauen und nahm mein Marketing ernst, indem ich eine E-Mail-Marketingplattform namens „Leads R Us“ einsetzte. Bei der Einrichtung bat man mich, „leadsrus.com“ zu meiner SPF-Richtlinie hinzuzufügen, damit die Marketingplattform für den Versand von E-Mails von meiner Domäne authentifiziert war.

Leider war „Leads R Us“ nicht so erfolgreich wie mein Unternehmen und ging in Konkurs. Ich wechselte zu einem anderen Anbieter, vergaß aber, „leadsrus.com“ aus meiner SPF-Richtlinie zu nehmen. Dadurch entstand ein hängender SPF-Eintrag.

„leadsrus.com“ wurde aufgegeben, aber ein bösartiger Akteur erkannte sie und kaufte die Domäne. Dies ist nun eine vergiftete Domäne. Und da „leadsrus.com“ immer noch in meiner SPF-Richtlinie enthalten ist, könnte der böse Akteur E-Mails als „billystrees.com“ versenden.

Registrierung einer in der Benutzerdokumentation verwendeten Domain

Ehrlich gesagt war ich nach „Billy’s Trees“ ein wenig müde und hatte die Nase voll von all den Cyberangriffen. Ich beschloss, mich auf meine Stärken zu besinnen, und gründete ein Beratungsunternehmen, das kleinen Unternehmen bei der Einführung der E-Mail-Authentifizierung hilft.

Zu diesem Zweck erstellte ich ein Online-Wiki, das eine schrittweise Anleitung zur Einrichtung von DMARC enthielt. Als ich in der Anleitung beschrieb, wie man eine Domäne zur SPF-Richtlinie hinzufügt, verwendete ich als Beispiel die nicht registrierte Domäne „yourauthorizeddomain.com“.

Da ich mit Kunden zusammenarbeitete, die über wenig technisches Wissen verfügten, fügten einige die unregistrierte Beispieldomäne zu ihrer SPF-Richtlinie hinzu und nicht die Domäne, die sie autorisieren wollten.

Einige Zeit später wurde „yourauthorizeddomain.com“ von einem bösartigen Akteur identifiziert und registriert, wodurch sie zu einer vergifteten Domäne wurde. Leider bedeutete dies, dass der böse Akteur E-Mails als die Kunden senden konnte, die „yourauthorizeddomain.com“ in ihre SPF-Richtlinie aufgenommen hatten.

Der Umfang der verwendeten Infrastruktur

Der Akteur, der hinter diesem Angriff steht, hat eine umfangreiche Infrastruktur aufgebaut, um diesen Angriff durchzuführen, und erwirbt weiterhin Ressourcen, um ihn zu unterstützen.

Bislang hat unser Team 112 vergiftete Domänen identifiziert, die erstellt oder übernommen wurden, um in SPF-Richtlinien hinzugefügt oder verwendet zu werden. Bei einigen handelt es sich um die Übernahme aufgegebener Domains – ich wette, dass das inzwischen geschlossene Harrisburg Jet Center nie damit gerechnet hat, in einen Cybersecurity-Angriff verwickelt zu werden -, aber bei vielen handelt es sich um absichtliche Imitationsversuche von vertrauenswürdigen Verbraucher- und Technologiemarken wie Amazon, Lacoste und Citrix. Hinter diesen Domänen verbergen sich Zehn-, wenn nicht Hunderttausende von IP-Adressen, die zur Unterstützung der Mailserver verwendet werden – eine übliche Technik, die bei dieser Art von Schneeschuhangriffen eingesetzt wird.

Was ist eine gefälschte Domäne und was ist DNS-Poisoning?

Eine manipulierte Domäne ist eine von einem Angreifer erstellte Domäne, in der Regel unter Verwendung eines Domänengenerierungsalgorithmus (DGA), der die tatsächliche Nutzlast der beim Angriff verwendeten IPs enthält. Diese Domänen werden dann in den gekaperten Domänen als Teil des SPF-Baums verwendet.

Wie hoch ist der Schaden?

Die Untersuchungen von Guardio Labs lassen vermuten, dass das Ziel des bösartigen Akteurs, der diese Kampagne durchführt, die Monetarisierung durch Werbeklicks des Benutzers ist. Diese Art von Betrug mag in diesem Fall das Hauptziel sein, aber das Ausmaß dieser Art von Kompromittierung von Geschäfts-E-Mails eignet sich für andere schädliche Aktivitäten, wie z. B. Malware-Downloads. Es wird nicht überraschen, dass sie auch für andere ruchlose, exakte Imitationsangriffe verwendet wurde.

Und die Übernahme von Domänen und Subdomänen ist nicht nur für den Versand von E-Mails nützlich. Ist ein Name erst einmal in der Hand einer anderen Person, kann diese ihn für Webdienste nutzen und die Opfer von Privatpersonen und Unternehmen leicht dazu verleiten, persönliche Daten und Zahlungsinformationen anzugeben.

In Kombination mit Social-Engineering-Techniken können Domänen- und Subdomänenübernahmen sehr schädlich sein.

Nicht zu vergessen ist auch der indirekte Schaden für den Ruf von Organisationen, deren Domänen, Subdomänen und Marken bei diesem Angriff verwendet wurden. Dies führt zu einer erheblichen Beeinträchtigung des Vertrauens, das bei Transaktions- und Marketing-Mails unerlässlich ist.

Warum ist diese Art von Angriff möglich?

In meiner Einleitung habe ich erwähnt, dass dieser Angriff menschliche Fehler und technische Schwächen im Domain Name System (DNS) ausnutzt. Einige sind technisch vermeidbar, andere erfordern die Unterstützung von Personen, die Prozesse und Konsequenzen verstehen. Zu diesen Schwachstellen gehören die unten genannten.

Authentifizierung wird übertragen

Je nach Konfiguration der übernommenen Domäne oder der Domäne, die die übernommene Domäne in ihrer SPF-Richtlinie hat, werden von der Subdomäne gesendete E-Mails oft nicht nur mit SPF, sondern auch mit DMARC und DKIM authentifiziert. Dies liegt daran, dass der CNAME ein Verweis auf die DNS-Zone des Ziels ist.

Ablauf der Registrierung von Domänennamen

In dem ausgezeichneten Buch „Managing Mission-Critical Domains and DNS“ spricht Mark E. Jeftovic über „Fehler, die trivial erscheinen mögen… und dann… erhalte ich eine E-Mail von einem Kunden, Freund oder Bekannten, in der es um genau diesen Abschnitt geht.“

Diese Schwachstellen führen zu unbeabsichtigten menschlichen Fehlern. Ein Whois-Eintrag wird nicht korrekt aktualisiert, ein Domänenablauf wird übersehen oder vergessen, jemand entscheidet, dass eine Domäne nicht mehr benötigt wird und aufgegeben werden sollte. 70 Prozent aller Webdomänen werden ein Jahr nach dem Kauf nicht erneuert, so dass es viele niedrig hängende Früchte gibt, auf die sich böswillige Akteure stürzen können.

Vergessene DNS-Einträge führen zu Dangling DNS-Problemen

In unserem Hardenize-Blog sprechen wir ausführlich über „Dangling DNS“. Dangling-DNS-Probleme entstehen, weil DNS-Änderungen, die vorgenommen wurden, leicht vergessen werden können. DNS wird getrennt von der Netzwerkschicht konfiguriert, sodass mehrere Schritte erforderlich sind, um eine Domäne oder Subdomäne auf einen Web- oder E-Mail-Dienst zu verweisen. Das Rückgängigmachen von Änderungen verdoppelt den Aufwand, und oft werden Dienste nicht aus dem DNS entfernt, wenn sie überflüssig sind, weil jemand sie vergisst oder ein Programmfehler vorliegt.

In vielen Fällen ist dies eine Frage der Hygiene. Aber wie der SubDo-Angriff gezeigt hat, kann ein vergessener DNS-Eintrag, der aus einer Vielzahl von Gründen nicht mehr funktioniert, zu einer Übernahme einer Domäne oder Subdomäne führen. In einigen Fällen kann dies auch zu einer Nameserver-Übernahme führen, wodurch ein böser Akteur die vollständige Kontrolle über Ihr DNS erhält.

Menschen sind, nun ja, Menschen

Das Beispiel der Benutzerdokumentation zeigt, dass auch wohlmeinende Menschen Fehler machen. Beim Verfassen von Benutzerdokumentation ist es fast unmöglich, sich vorzustellen, dass gefälschte Domänen, die den Benutzern helfen sollen, ein Szenario zu verstehen, auf diese Weise missbraucht werden würden.

Wie der Angriff verhindert werden kann

Lassen Sie Ihre Domänennamen nicht auslaufen

Manche sagen, man solle keine bedeutenden Domänennamen auslaufen lassen. Aber in Wirklichkeit sollten Sie keine bereits registrierten Domänennamen auslaufen lassen. Die Kosten für die Registrierung und Wartung sind im Allgemeinen sehr gering, während die Kosten für die Bereinigung aller Verweise hoch sind.

Halten Sie Ihr DNS sauber

Entfernen Sie Ressourcendatensätze aus Ihrem DNS, die nicht mehr verwendet werden, und entfernen Sie Abhängigkeiten von Dritten aus Ihrem DNS, wenn sie überflüssig geworden sind. Stellen Sie sicher, dass diese Arbeiten regelmäßig von Ihrem Infrastrukturteam geplant werden.

Verwenden Sie einen vertrauenswürdigen E-Mail-Schutzanbieter

Es ist sinnvoll, einen Anbieter für Ihre DMARC-, DKIM-, SPF- und MTA-STS-Anforderungen zu nutzen. Ihre E-Mail ist eine kritische Infrastruktur für Ihr Unternehmen, daher sollten Sie einen vertrauenswürdigen Anbieter wählen, der in der Lage ist, Ihnen proaktiv mitzuteilen, wenn etwas nicht ganz richtig aussieht. Es ist zum Beispiel wichtig, einen Anbieter zu wählen, der Ihnen mitteilt, wenn eine Domäne, die Teil Ihrer SPF-Richtlinie ist, ungültig ist.

Prüfen Sie auf ungültige DNS-Einträge

Erstellen Sie ein Inventar Ihrer Hostnamen und überwachen Sie diese kontinuierlich auf fehlerhafte Ressourceneinträge und Dienste von Drittanbietern. Wenn Sie diese finden, entfernen Sie sie sofort aus Ihrem DNS. Dies ist ein Arbeitsablauf, der in Ihr Security Operations Centre (SOC) aufgenommen werden sollte, damit die Analysten genügend Informationen erhalten, um Abhilfemaßnahmen korrekt zu identifizieren, einzuteilen und zuzuweisen.

Überwachen Sie, welche Quellen von Ihrer Domain aus senden

Wenn Ihre Domain oder Subdomain für den Versand übernommen wird, ist es wichtig, dass Sie so schnell wie möglich wissen, ob von dort aus E-Mails versendet werden. Achten Sie also bei der Auswahl des Anbieters von E-Mail-Schutz darauf, dass er Sie über den Versand von E-Mails aus allen Quellen informieren kann.

Überwachen Sie die Domänen der Infrastruktur-Lieferkette, auf die Sie angewiesen sind

Die Subdo-Kampagne hat Domänen neu registriert, die von Anbietern aufgegeben wurden, auf die sich Unternehmen bei wichtigen Diensten wie Zahlungs-Gateways verlassen. Sie sollten proaktiv zumindest die primären Domänen Ihrer Lieferkette überwachen, einschließlich der Domänen, die in Ihrer SPF-Richtlinie enthalten sind, und Maßnahmen ergreifen, wenn die Web- oder E-Mail-Dienste verfügbar werden.

Wie die Red Sift Pulse Platform dabei hilft, diese Angriffe kontinuierlich und proaktiv zu verhindern

Kontinuierliche Überwachung Ihrer Angriffsfläche und DNS-Prüfungen mit Red Sift ASM

Red Sift ASM entdeckt und überwacht kontinuierlich Assets, die für diese Art von Angriffen anfällig sind.

Wenn eine Domäne erkannt wird, werden auch alle Subdomänen erkannt, die abgeleitet werden können, es wird geprüft, ob E-Mail- und Webdienste auf jeder Domäne und Subdomäne vorhanden sind, und es wird eine vollständige Prüfung der DNS-, E-Mail- und Webkonfiguration durchgeführt. Dazu gehören auch die wichtigsten Prüfungen, die erforderlich sind, um ähnliche Bedrohungen wie SubdoMailing zu verhindern – die Überwachung des Ablaufs von Domänennamen, damit Sie nicht die Kontrolle über Ihre Domänen verlieren, und das Auffinden hängender Datensätze und Dienste, damit Sie Ihr DNS bereinigen können. Die Erkennung und Überwachung von Assets erfolgt oft in Echtzeit, so dass Ihr Team wichtige Informationen genau dann erhält, wenn sie benötigt werden – und nicht erst nach Tagen, Wochen oder Monaten.

Kontinuierliche Überwachung von gesendeten E-Mails mit Red Sift OnDMARC

Red Sift OnDMARC bietet einen vollständigen Überblick über alle ausgehenden E-Mails, die von Ihrem Unternehmen versendet werden, einschließlich aller Dienstanbieter. Auf diese Weise können Sie schnell Quellen identifizieren, die E-Mails über Ihre Domäne versenden, was nicht der Fall sein sollte, und die Übernahme von Domänen oder Subdomänen schnell aufdecken.

Red Sift OnDMARC bietet außerdem eine vollständige Übersicht über alle rohen und verschachtelten Includes in Ihrer SPF-Richtlinie.

Dynamische Dienste mit Red Sift OnDMARC

SPF-, DKIM-, DMARC- und MTA-STS-Implementierungen führen häufig zu Fehlern, da sie schwer zu verwalten sind, insbesondere in komplexen Umgebungen. Dynamic Services vereinfacht die Verwaltung Ihrer E-Mail-Authentifizierungsdatensätze an einem einzigen Ort. Durch das Ersetzen statischer DNS-Datensätze durch intelligente Dynamic Services-Datensätze entfällt die Notwendigkeit, bei Bedarf häufige Änderungen bei Ihrem DNS-Anbieter vorzunehmen.

Dynamic Services erhöht außerdem die Robustheit von E-Mail-Konfigurationen durch Zwischenspeicherung und Fehlerbehandlung sowie, im Falle eines Problems, durch Selbstheilung, indem die letzte bekannte korrekte Konfiguration als Fallback verwendet wird. Wenn eine in Ihrer SPF-Richtlinie verwendete Domäne ungültig wird, erkennt Dynamic Services dies und benachrichtigt Sie, damit die Domäne aufgelöst oder entfernt werden kann, heilt sich aber auch selbst, so dass die E-Mail-Authentifizierung nicht beeinträchtigt wird.

Wie Red Sift sofort helfen kann

SPF-Prüfer

Mit dem SPF Checker von Red Sift können Sie bestimmte Domains oder Subdomains daraufhin überprüfen, ob Sie oder Ihr Unternehmen von SubdoMailing betroffen sind. In Sekundenschnelle wird Ihnen mitgeteilt, ob eine vergiftete Domain in Ihrer SPF-Konfiguration gefunden wurde.

Verfügt Ihr Unternehmen über eine große Anzahl von Domains und Subdomains?

Setzen Sie sich mit uns in Verbindung und unser Team wird eine Sitzung mit Ihnen vereinbaren. Wir erstellen Ihr Inventar automatisch mithilfe von Red Sift ASM und prüfen dann, ob vergiftete Domains in den SPF-Richtlinien der einzelnen Domains und Subdomains enthalten sind, die wir entdeckt haben.

Sind Sie ein bestehender Red Sift-Kunde?

Bestehende Red Sift-Kunden können die neuesten Updates zu unserer Arbeit bei der Untersuchung dieses Angriffs verfolgen, indem sie sich bei der exklusiven Sift Space ASM Community-Gruppe anmelden.

PUBLISHED BY Billy McDiarmid