Cyberkriminelle nutzen gemeinsame CDN-IPs, um DNS-Filterung zu umgehen

Dadurch können Angreifer Verbindungen herstellen, die auf den ersten Blick legitim erscheinen, während sie heimlich mit bösartigen Zielen kommunizieren. In beobachteten Fällen löst das System eines Nutzers eine vertrauenswürdige Domain wie whatismyipaddress.com auf, die vom schützenden DNS (PDNS) erlaubt ist.

Die tatsächliche verschlüsselte Verbindung wird jedoch auf eine andere Domain wie evilsite.ai umgeleitet, die auf derselben gemeinsamen CDN-Edge-IP-Adresse gehostet wird.

Da viele Unternehmensverteidigungen auf DNS-Reputation oder initiale TLS-Inspektionen angewiesen sind, bleiben Diskrepanzen zwischen der DNS-Auflösung und dem tatsächlichen Verbindungsziel häufig unerkannt und bilden für Verteidiger einen erheblichen Blindflug.

Technischer Hintergrund

Umgehung Gegensatz zur älteren Domain-Fronting-Technik, die etwa 2018 ßen Cloud-Anbietern abgeschwächt wurde, manipuliert Underminr die SNI- und HTTP-Host-Header, während es auf legitime DNS-Antworten zurückgreift, was die Erkennung und Blockierung erheblich erschwert.

Forscher, dass Angreifer diese Technik mit einfachen Skripten, Malware oder sogar -Engineering-Methoden wie ClickFix-Angriffen einsetzen können, die Benutzer dazu verleiten, Befehle lokal auszuführen.

Sobald die Technik aktiv ist, ermöglicht sie eine breite Palette böswilliger Aktivitäten, einschließlich Command-and-Control (C2)-Kommunikation, Datenexfiltration, VPN-Tunneling und Umgehung, während sie für vertrauenswürdige Dienste wie normaler Traffic erscheint.

Sicherheitslage und Risiko

Der Bericht beschreibt vier Hauptangriffsmodi: Simple Mode: Verwendet eine täuschende SNI nach einer legitimen DNS-Abfrage. Split Mode: Erstellt zunächst eine harmlose Verbindung, wechselt dann zu einer bösartigen, um DPI zu umgehen. ECH Mode: Nutzt Encrypted Client Hello (ECH), um SNI-Details vollständig zu verschleiern.

Direct-to-IP Mode: Umgeht DNS-Logging vollständig, indem direkt CDN-Edge-IPs angesprochen werden. Diese Techniken entsprechen Methoden aus dem MITRE ATT&CK-Katalog wie Protokolltunneling und Missbrauch externer Remote-Dienste.

Sie wurden zudem mit fortgeschrittenen Bedrohungsgruppen Verbindung gebracht, darunter China-orientierte Akteure wie Flax Typhoon und GALLIUM, die Werkzeuge wie SoftEther VPN einsetzen, Persistenz zu gewährleisten und Erkennung zu umgehen.

Die weitreichenden Auswirkungen sind erheblich, Schutzmechanismen

Die weitreichenden Auswirkungen sind erheblich, Schutzmechanismen auf DNS, die lange als grundlegende Sicherheitskontrolle galten, ohne tiefere Korrelation des Datenverkehrs wirkungslos werden können.

ADAMnetworks warnt davor, dass Organisationen, die ausschließlich auf DNS-Filterung oder teilweise TLS-Inspektion setzen, besonders anfällig sind, insbesondere Umgebungen ohne vollständiges Proxying oder Traffic-Decryption.

Um sich gegen Underminr zu schützen, empfiehlt das Unternehmen, DNS-Abfragen mit Verbindungs-Metadaten zu korrelieren und die tatsächlichen Verbindungsendpunkte zu überwachen. Zudem wurden eine neue Initiative zum Austausch eingeführt, Organisationen dabei zu unterstützen, festzustellen, ob ihre Domänen verwundbar sind oder missbraucht werden.

Technik und Auswirkungen

Da die IPv4-Erschöpfung weiterhin dazu führt, dass mehr Dienste auf gemeinsame Infrastrukturen verlagert werden, ist mit einem Anstieg des Risikos für Cross-Tenant-Missbrauch zu rechnen, was die Sorge weckt, dass Angreifer und möglicherweise KI-gestützte Kampagnen diese Technik global ausweiten könnten.

Ohne abgestimmte Gegenmaßnahmen seitens CDN-Anbieter, Domain-Betreiber und Sicherheitsanbieter könnte Underminr das Vertrauen in DNS-basierte Verteidigungsmechanismen erheblich schwächen und die Art und Weise, wie Netzwerksicherheit durchgesetzt wird, grundlegend verändern. Abi ist Sicherheitsredakteurin und Reporterin bei