„Savvy Seahorse“-Hacker stellen neuen DNS-CNAME-Trick vor

Ein neu entdeckter Bedrohungsakteur betreibt einen Investitionsbetrug über ein clever konzipiertes Traffic Distribution System (TDS), das sich das Domain Name System (DNS) zunutze macht, um dafür zu sorgen, dass sich seine bösartigen Domains ständig ändern und vor Abschaltungen geschützt sind.

„Savvy Seahorse“ imitiert große Markennamen wie Meta und Tesla – und lockt Opfer durch Facebook-Anzeigen in neun Sprachen dazu, Konten auf einer gefälschten Anlageplattform zu erstellen. Sobald die Opfer ihre Konten aufgeladen haben, wird das Geld auf ein vermutlich vom Angreifer kontrolliertes Konto bei einer russischen Staatsbank überwiesen.

Es handelt sich um eine häufige Art von Betrug. Nach Angaben der Federal Trade Commission (FTC)US-Verbraucher gaben an, allein im Jahr 4.6 2023 Milliarden Dollar durch Investitionsbetrug verloren zu haben. Das ist fast die Hälfte der 10 Milliarden US-Dollar, die Berichten zufolge durch alle Arten von Betrügereien verloren gegangen sind, was sie zur profitabelsten Art macht, die es gibt.

Was Savvy Seahorse also von der Masse unterscheidet, ist nicht der Charakter seiner List, sondern vielmehr die Infrastruktur, die ihn unterstützt.

Wie in einem neuen Bericht von Infoblox dargelegt, betreibt das Unternehmen ein TDS mit Tausenden unterschiedlicher und fließender Domänen. Was das gesamte System zusammenhält, ist ein Canonical Name (CNAME)-Eintrag, eine ansonsten langweilige Eigenschaft von DNS, die es nutzt, um sicherzustellen, dass sein TDS, wie das Schiff des Theseus, kontinuierlich neue Domänen erstellen und alte Domänen abwerfen kann, ohne wirklich etwas zu ändern über die Kampagne selbst.

Über DNS verstärkte TDS-Angriffe

„Normalerweise denken wir, dass TDS in der HTTP-Welt angesiedelt ist – eine Verbindung kommt zustande, ich nehme einen Fingerabdruck auf Ihrem Gerät und auf der Grundlage Ihres Fingerabdrucks schicke ich Sie möglicherweise zu Malware oder Betrug oder verweigere den Dienst“, erklärt Renée Burton. Leiter der Bedrohungsintelligenz bei Infoblox.

Tatsächlich haben sich in den letzten Jahren ganze Ökosysteme der Cyberkriminalität rund um HTTP-basierte TDS-Netzwerke entwickelt, wie z die von VexTrio betriebene. HTTP wird für alle Metadaten bevorzugt, die es Angreifern ermöglicht, von Opfern zu erfassen: ihren Browser, ob sie auf Mobilgeräten oder Desktops sind und so weiter.

„Meistens ignorieren wir TDSs“, fährt sie fort, „und wenn wir aufmerksam sind, betrachten wir es in diesem engen Rahmen. Aber was wir in den letzten zweieinhalb Jahren herausgefunden haben, ist, dass es in Wirklichkeit ein ganzes Konzept von Verkehrsverteilungssystemen gibt, die eigentlich nur im DNS existieren.“

Tatsächlich ist Savvy Seahorse nicht neu – es ist seit mindestens August 2021 in Betrieb – und auch nicht völlig einzigartig – andere Gruppen führen eine ähnliche DNS-basierte Verkehrsverteilung durch, aber keine wurde bisher in der Sicherheitsliteratur beschrieben. Wie funktioniert diese Strategie?

Wie Savvy Seahorse CNAME missbraucht

In diesem Fall kommt es auf CNAME-Einträge an.

In DNS ermöglicht CNAME die Zuordnung mehrerer Domänen zu derselben Basisdomäne (kanonisch). Beispielsweise könnte die Basisdomäne „darkreading.com“ CNAME-Einträge für www.darkreading.com, darkreading.xyz, und viele weitere Subdomains. Diese Grundfunktion kann dabei helfen, eine ansonsten große, unhandliche und sich verändernde Gruppe von Domänen zu organisieren, die legitimen Organisationen und offensichtlich auch Cyberangreifern gehören.

Burton erklärt: „Dieser CNAME-Eintrag ermöglicht Savvy Seahorse insbesondere, dass er seine Abläufe sehr schnell skalieren und verschieben kann.“ Jedes Mal, wenn jemand eine seiner Phishing-Sites schließt – was bei vielen ziemlich häufig vorkommt –, muss er nur zu einer neuen Website wechseln. Sie haben im Wesentlichen überall Spiegel [mit demselben Inhalt] und verwenden den CNAME als Karte zu diesen Spiegeln.“

Das Gleiche gilt für IPs – sollte jemand versuchen, die Hosting-Infrastruktur von Savvy Seahorse herunterzufahren, kann er seinen CNAME einfach kurzfristig auf eine andere Adresse verweisen. Dadurch ist es nicht nur widerstandsfähig, sondern auch ausweichend und bewirbt jede seiner Subdomains durchschnittlich nur fünf bis zehn Tage lang (wahrscheinlich, weil es für sie so einfach ist, sie ein- und auszutauschen).

CNAME gibt dem Bedrohungsakteur außerdem die Möglichkeit, von Anfang an ein robusteres TDS zu entwickeln.

Wie CNAME das Spiel für Angreifer und Verteidiger verändert

Angreifer neigen dazu, alle ihre Domains in großen Mengen über einen einzigen Registrar zu registrieren und einen einzigen Internetdienstanbieter (ISP) für die Verwaltung zu nutzen, einfach um zu vermeiden, dass sie zu viel auf einmal jonglieren müssen. Der Nachteil (für sie) besteht darin, dass Cyber-Verteidiger dadurch alle ihre Domains über ihre gemeinsamen Registrierungsmetadaten leicht entdecken können.

Betrachten Sie nun Savvy Seahorse, das nicht weniger als 30 Domain-Registrare und 21 ISPs zum Hosten von 4,200 Domains eingesetzt hat. Egal wie viele Registrare, ISPs oder Domänen sie nutzen, am Ende sind sie alle über CNAME mit einer einzigen Basisdomäne verknüpft: b36cname[.]site.

Aber auch hier gibt es einen Haken. Eine Achillesferse. CNAME ist sowohl der Leitstern von Savvy Seahorse als auch sein einziger Fehlerpunkt.

„Es gibt ungefähr 4,000 schlechte Domainnamen, aber es gibt nur einen schlechten CNAME“, betont Burton. Die Verteidigung gegen eine Gruppe wie Savvy Seahorse kann also einen unglaublich anstrengenden oder einen völlig einfachen Weg erfordern. „Alles, was Sie tun müssen, ist, die eine Basisdomäne zu blockieren [auf die der CNAME verweist] und aus Sicht der Bedrohungsanalyse können Sie alles mit einem Schlag zerstören.“

Es gibt keine Regel, die besagt, dass Angreifer mit vielen CNAMEs keine bösartigen Netzwerke aufbauen können, erklärt Burton, aber „meistens aggregieren sie.“ Selbst in den allergrößten Systemen sehen wir, dass sie zu einer viel kleineren Gruppe von CNAMEs zusammengefasst werden.“

"Warum?" Sie fragt: „Vielleicht, weil sie nicht erwischt werden.“

SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
Quelle: https://www.darkreading.com/vulnerabilities-threats/savvy-seahorse-hackers-debut-novel-dns-cname-trick

Generative Datenintelligenz

„Savvy Seahorse“-Hacker stellen neuartigen DNS-CNAME-Trick vor

Über DNS verstärkte TDS-Angriffe

Wie Savvy Seahorse CNAME missbraucht

Wie CNAME das Spiel für Angreifer und Verteidiger verändert

Gewinnmaximierung im Jahr 2024: Ein umfassender Blick auf ValueZone.AI

Live-Berichterstattung: SpaceX startet 23 Starlink-Satelliten auf Falcon 9-Flug von Cape Canaveral aus

Neueste Intelligenz

Drei Schlüssel für den Sieg der Inselbewohner im fünften Spiel

Die Lakers erringen den ersehnten Sieg gegen Denver, liegen nun in Serie mit 3:1 zurück

Falcon 9 startet Galileo-Navigationssatelliten

Der von ehemaligen Saab-Ingenieuren entworfene NEVS Emily GT könnte in Italien gebaut werden – Autoblog

Dogecoin- und Pepecoin-Enthusiasten versammeln sich hinter dem neuen KI-Token, der von der Wahoo Exchange Platform – CryptoInfoNet – eingeführt wurde

Lehren aus dem FTX-Prozess: Die Regulierung von CEXs reicht möglicherweise nicht aus, um schlechte Akteure zu verhindern | Meinung – CryptoInfoNet