Subdomain-Hijacking mit Millionen Phishing-Mails im Nachgang

Im Rahmen ihrer Kampagne SubdoMailing kapert ResurrecAds seriöse Subdomains bekannter Firmen wie MSN, VMware, McAfee, Marvel oder eBay und Organisationen wie UNICEF. Im Anschluss nutzen ResurrecAds-Mitglieder DNS-Fehlkonfigurationen aus, um massenhaft maliziöse E-Mails über diese Subdomains zu versenden. So wurden bisher international 8791 kompromittierte Domains identifiziert, in deren Namen ca. fünf Millionen maliziöse E-Mails pro Tag versendet werden. Das berichtet der Online-Sicherheitssoftware -Hersteller Guardio Labs.

Die nachfolgend geschilderten Maschen sind als Vorgehensweisen denkbar, bisher setzt ResurrecAds SPF-Takeover massiv ein.

SPF-Takeover

Beim SPF-Takeover nutzen Kriminelle SPF-Records aus, die auf nicht mehr registrierte Domains verweisen. SPF steht für Sender Policy Framework und SPF-Records sind Listen der E-Mail-Server, die E-Mails im Namen einer Domain versenden dürfen. Wenn Dritte diese Domains erneut registrieren, können sie E-Mails verschicken, die Spam-Filter ggf. nicht mehr erkennen. Das liegt daran, dass die SPF-Records authentisch und als von der Organisation stammend erscheinen. Somit können sie gegenüber SPF-Checks des Empfänger-Servers bestehen.

CNAME-Takeover

Beim CNAME-Takeover nutzen Kriminelle alte, vergessene Subdomains mit CNAME-Records, die auf nicht mehr registrierte Domains zeigen. CNAME-Records sind Alias für die DNS-Einträge einer anderen Domain. 

Ein Beispiel: domain.com ist eine aktive Unternehmensdomain und sub.domain.com eine lang nicht mehr genutzte Subdomain desselben Unternehmens. Ein CNAME-Record von sub.domain.com verweist auf die nicht mehr registrierte Domain expired.com. Wenn eine Person im Browser die Adresse sub.domain.com eingibt, dann wird sie automatisch auf expired.com weitergeleitet.

Diesen Umstand nutzen Kriminelle für ein CNAME-Takeover, indem sie expired.com auf sich registrieren. Auf dieser Domain können sie nun maliziösen Inhalt hosten oder darüber Cookies abgreifen, während sie unter dem scheinbar legitimen Deckmantel von sub.domain.com agieren.

Bisher wurde diese Masche nicht aktiv beobachtet, sie ist aber aufgrund des leichten Ausnutzungspotenzials ein plausibler Angriffsvektor.

Mit den beschriebenen Methoden des Subdomain-Hijacking werden insbesondere Phishing-Kampagnen immer effektiver. Aufgrund der verwendeten echten Subdomains wirken versendete Schad-E-Mails für Endnutzer deutlich authentischer und für technische Systeme wesentlich valider. Da sich die Masche als effektiv erwiesen hat, ist mit einer weiteren Ausnutzung der Methode zu rechnen, nicht nur im Rahmen der SubdoMailing-Kampagne von ResurrecAds. Das allgemeine Schadenspotenzial ist immens, da nicht nur getäuschten Anwendern Schäden entstehen, sondern auch die Reputation betroffener Unternehmen und Organisationen leidet.

Um sich gegen Subdomain-Hijacking und Phishing-Kampagnen zu wappnen, beachten Sie folgende Empfehlungen:

Empfehlungen gegen Subdomain-Hijacking

• Prüfen Sie mit dem Guardio-Labs-Checker, ob die Domain und die Subdomains Ihrer Organisation betroffen sind. Den Link hierzu finden Sie unter Weitere Informationen.
• Prüfen Sie die CNAME-Records Ihrer Domain und Subdomains. Die CNAME-Records sollten nur auf eigene oder vertrauenswürdige Domains verweisen.
• Prüfen Sie die SPF-Policies Ihrer Domain und Subdomains. Alle dort aufgeführten Domains und IP-Adressen sollten eigene oder vertrauenswürdige Domains sein. 
• Prüfen Sie die SPF-Konfigurationen Ihrer Domain und Subdomains. 
  • Setzen Sie diese möglichst eng und strikt. 
  • Setzen Sie nach Möglichkeit den Parameter -all (Fail). So lehnt Ihr Server E-Mails von Servern und IP-Adressen ab, die nicht im SPF-Eintrag aufgeführt sind.
  • Setzen Sie nicht den Parameter +all (Pass). Ansonsten kann jeder Server E-Mails im Namen Ihrer Domain senden.
  • Setzen Sie nicht den Parameter ?all (Neutral). Diesen interpretiert der Server als None/Keine Richtlinie.
  • Setzen Sie den Parameter ~all (SoftFail) nur wohlüberlegt und in Ausnahmefällen. Wenn ~all gesetzt ist, werden E-Mails von Servern sowie IP-Adressen akzeptiert und markiert, die nicht im SPF-Record aufgeführt sind.
• Implementieren Sie DMARC (Domain-based Message Authentication, Reporting and Conformance) zur verbesserten Authentifizierung von E-Mails. DMARC baut u. a. auf SPF auf und spezifiziert für das Mail-System des Empfängers, wie dieses die Authentifizierung durchführt und mit Fehlern umgeht. 
• Beachten Sie die Technische Richtlinie zur E-Mail-Authentifizierung (BSI TR-03182) des Bundesamts für Sicherheit in der Informationstechnik (BSI). Hierin informiert das BSI über Best Practices und empfiehlt Konfigurationsoptionen. Den Link hierzu finden Sie unter Weitere Informationen.

Allgemeine Empfehlungen zum E-Mail-Verkehr

• Achten Sie bei E-Mails auf folgende mögliche Anzeichen einer Fälschung:
  • Verdächtige Absenderadressen
  • Betreffzeilen
  • Ungewöhnliche Rechtschreibfehler oder Übersetzungsfehler
  • Ungewöhnlich formatierte Texte
  • Texte, die teils in Deutsch und teils in anderer Sprache verfasst sind
  • Ungewöhnliche Signaturen
• Wenn Sie Zweifel an der Echtheit einer Nachricht haben, gehen Sie folgendermaßen vor:
  • Besuchen Sie die offizielle Website des Absenders. Vergleichen Sie die dort angegebenen Kontaktinformationen mit denen in der Nachricht.
  • Rufen Sie im Zweifel den Absender an und vergewissern Sie sich, dass die E-Mail bewusst an Sie versendet wurde.
• Bevor Sie auf einen Link klicken, positionieren Sie den Mauszeiger auf der Link-Fläche. Warten Sie kurz, ohne zu klicken. Das sogenannte Mouseover zeigt das Link-Ziel an, das Sie dann besser beurteilen können.
• Klicken Sie nicht auf Anhänge oder Links, die verdächtig erscheinen oder von einem unbekannten Absender kommen. Dies gilt vor allem dann, wenn der Absender um Geld oder persönliche Informationen bittet.
• Wenn Sie eine verdächtige E-Mail erhalten haben, löschen Sie diese oder verschieben Sie die E-Mail in Ihren Spam-Ordner.
• Wenn Sie unsicher sind, informieren Sie die zuständige Stelle in Ihrem Haus (CISO/ISB). Diese entscheidet über die weitere Vorgehensweise.

Administrative Empfehlungen

• Aktivieren Sie keine Makros für Dokumente in E-Mails, die von unbekannten Personen stammen, unabhängig davon, was in der Mail behauptet wird.
• Richten Sie zur Missbrauchsprävention und zum Erhalt Ihrer technischen Reputation eine Quotierung für den E-Mail-Versand ein.