[Neue Studie] Benelux Benchmark Attack Surface Security 2024 jetzt verfügbar | Studie lesen.

Wichtiger Hinweis ⚠️  |   Diese Webseite wird bald abgeschaltet. Informieren Sie sich weiterhin auf Outpost24.com >>

Wildcard-Domains in Ihrer externen Angriffsfläche entdecken, um einen vollständigen Überblick über die Assets zu erhalten

Ein vollständiger und genauer Überblick über alle Ihre Online-Assets ist der Schlüssel zum Schutz Ihrer externen Angriffsfläche vor bösartigen Akteuren. Zu wissen, was Sie online preisgegeben haben, ist immer der erste Schritt. Wildcard-Domains können in dieser Hinsicht eine Herausforderung für EASM-Lösungen darstellen. Aber was genau sind Wildcards und wie können Sie in EASM „echte“ Domains von False Positives unterscheiden?
Wildcard Domains

Verwendung und Vorteile von Wildcards bei der Konfiguration Ihrer Subdomains

Eine Wildcard erzeugt jede nicht existierende Subdomain, die die Infrastruktur einer Organisation jetzt oder in Zukunft benötigen könnte. Wenn Sie eine Wildcard verwenden, um Ihre möglichen Subdomains zu konfigurieren, wird jede Subdomain automatisch gültig sein. Dies ist für IT-Experten bei der Einrichtung von Subdomains sehr praktisch. Für eine automatisierte External Attack Surface Management (EASM)-Lösung macht es eine Wildcard jedoch besonders schwierig, Subdomains zu entdecken: Jede von uns überprüfte Subdomäne scheint zu existieren, auch wenn sie es nicht tut. Wenn jede mögliche Subdomäne aufgelöst wird, wie können wir uns dann auf die Erkennung der „echten“ Subdomänen in der Angriffsoberfläche konzentrieren?

Mit den „echten“ Subdomains meinen wir zunächst einmal Folgendes: Wenn die Sweepatic EASM-Plattform die Subdomains überprüft, wird die Antwort für jede Subdomain in einem Wildcard-Szenario immer lauten: „Ja, ich existiere.“ Eine „echte“ Subdomain ist dann eine, die tatsächlich existiert (z.B. blog.firma.com). Wenn eine Subdomain antwortet: „Ja, ich existiere“, obwohl sie eindeutig nicht existiert, handelt es sich nicht um eine echte Subdomain (z.B. jkzfjozjoabc.firma.com).

Sie möchten alle echten Subdomänen finden (um Ihren Scope zu vervollständigen) und alle Subdomänen herausfiltern, die antworten, dass sie aktiv, aber nicht konfiguriert sind (um die Anzahl der False Positives zu reduzieren). Die Sweepatic EASM-Plattform überprüft Wildcard-Domains – Domains, die eine DNS-Wildcard enthalten (die bei Anfragen für nicht existierende Domainnamen verwendet wird) –, um die Angriffsfläche so genau und vollständig wie möglich abzubilden. Dank dieser effizienten Verwendung von Wildcards in der Sweepatic EASM-Plattform können Unternehmen, die Wildcards verwenden, kompromisslos von den Einblicken in externe Angriffsflächen und einer intuitiven und verbesserten Benutzererfahrung in der EASM-Lösung profitieren. Die Sweepatic EASM-Plattform wendet eine spezielle Logik auf Domains mit Wildcards an, um zu erkennen, ob eine Subdomain echt ist. Wie ist das bei uns möglich? Lassen Sie uns darauf eingehen!

Wie funktioniert eine Wildcard?

Eine Wildcard antwortet auf die Erkennung von Subdomains. In den meisten Fällen ist ‚.‘ der Weg, um diese Suche zu konfigurieren, zum Beispiel: ‚.domain.com‘ oder ‚.sub.domain.com‘. Dies führt dazu, dass jede Anfrage richtig beantwortet wird, indem gesagt wird, dass die Subdomain existiert. Zum Beispiel wird asdndfhgoihcnlkwer.domain.com mit den Einträgen von *.domain.com antworten.

Es ist jedoch möglich, Konfigurationen zu finden, die auch mit partiellen Datensätzen antworten.
Zum Beispiel können wir eine Wildcard-Konfiguration zeigen:

  • *.partial_records.domain.com hat Datensätze A
  • 1.1.1.1
  • 0.0.0.0
  • 173.56.48.5
  • 252.26.3.15
  • random.partial_records.domain.com antwortet mit 1.1.1.1 und 0.0.0.0 als A-Eintrag
  • random2.partial-records.domain.com antwortet mit 1.1.1.1 und 252.26.3.15 als A-Eintrag
  • eine zweite Anfrage random.partial_records.domain.com antwortet mit 0.0.0.0 und 173.56.48.5 als A-Eintrag

In diesem Fall würde sich das Ergebnis der Angriffsfläche bei jedem Scan ändern. Letztendlich werden alle Subdomains zum gleichen Ergebnis führen. Das Vorhandensein einer Wildcard verhindert nicht, dass eine Subdomain tatsächlich real und vom Unternehmen beabsichtigt ist.

Im Vergleich dazu würde das obige Beispiel ohne die Verwendung von Platzhaltern folgendermaßen aussehen:

  • mydomain.partial_records.domain.com hat Einträge A
  • 1.1.1.1
  • 0.0.0.0
  • 173.56.48.5
  • 252.26.3.15
  • random.partial_records.domain.com antwortet nicht
  • random2.partial-records.domain.com antwortet nicht
  • eine zweite Anfrage random.partial_records.domain.com antwortet ebenfalls nicht

Wie wir sehen können, antwortet in diesem Fall nur die reale Domäne, was das Auffinden und Sammeln von Informationen im Allgemeinen einfacher macht als im obigen Beispiel.

Subdomains und die Beziehung zu Wildcards

Eine Subdomain ist die untergeordnete Domain oder Zone einer Domain. Im DNS sind alle Einträge und DNS-Zonen hierarchisch aufgebaut. So ist beispielsweise www.domain.com eine Subdomain von domain.com, und domain.com ist eine Subdomain von com. Eine Wildcard-Domain führt dazu, dass jede Subdomain oder Subdomain einer Subdomain auf eine unbeabsichtigte Weise existiert. Wir nennen diese unbeabsichtigte Domains. Eine Domäne, die absichtlich existiert, ist eine werbende Domäne. Es gibt verschiedene Möglichkeiten, wie Sie werbliche Domains erstellen können. Jede davon schafft ein anderes Szenario für die Erkennung von Wildcards, Domänen und Subdomänen. Dies wird im technischen Abschnitt näher erläutert.

Wildcards: eine zusätzliche Sicherheitsebene und ein Hindernis zugleich

Wenn man Wildcards vom Standpunkt der Sicherheit aus betrachtet, haben sie ihre Vorteile und Herausforderungen. Einerseits fügen sie eine zusätzliche Ebene der Sicherheit durch Verborgenheit hinzu: Gezielt erstellte Subdomains sind in der Unzahl der von den Wildcard-DNS-Einträgen erzeugten Subdomains versteckt. Andererseits erschwert dies den Sicherheitstools die Aufgabe, einen klaren und vollständigen Überblick über die Sicherheitslandschaft zu geben, da Wildcards bei der Erkennung und Informationsbeschaffung einige Probleme verursachen können.

Wie in den meisten Sicherheitslösungen beschrieben, ist die Entdeckung oder das Sammeln von Informationen der wichtigste Schritt zur Sicherung der Angriffsfläche, und dies absichtlich zu erschweren, kann als Vorteil gewertet werden. Da die Verwendung von Wildcards die echten Positives nur in einem Meer von False Positives verbirgt, betrachten wir dies als Sicherheit durch Unklarheit. Wenn böswillige Akteure nicht zwischen Domänen, die vom Unternehmen kontrolliert und gepflegt werden, und gefälschten Websites unterscheiden können, ist es für diejenigen, die sie schützen wollen, schwieriger, Angriffsvektoren zu finden. Selbst wenn wir davon ausgehen, dass dieses Problem durch einige Open-Source-Tools wie OWASP Amass oder sublist3r gelöst wird, ist die Erkennung von Werbedomains in einem Wildcard-Szenario viel langsamer. Darüber hinaus verringert die Verwendung von Wildcards die Qualität von OSINT-Quellen, da die Erkennung von auftauchenden und verschwindenden Domains schwieriger wird. Die Tatsache, dass Domänen nie aufhören zu antworten, sondern nur ihre Antworten ändern, macht die Erkennung von Domänen, die sich nicht auflösen, sehr viel schwieriger, aber nicht unmöglich.

Aus den oben genannten Gründen stand die Sweepatic EASM-Plattform bei Wildcard-Domains vor der gleichen Herausforderung: Wie können wir die konfigurierten Subdomains, die wirklich Teil der externen Angriffsfläche einer Organisation sind, von den False Positives unterscheiden? Durch die ständige Verbesserung und Anpassung unserer Suchtechniken und -methoden, einschließlich der gründlichen Überprüfung der Wildcard-Domains, gewährleistet das Sweepatic-Team optimale Einblicke in die externe Angriffsfläche unserer Kunden.

corrugated paper background with asterisk cutout

Technische Beschreibung von Wildcard-Domains

Um zu verstehen, wie Wildcard-Domains in EASM behandelt werden können, ist es hilfreich, sich anzusehen, wie sie genau funktionieren. Im Folgenden werden vier Wildcard-Szenarien aufgeführt und erläutert, auf die das EASM-Team von Sweepatic in seiner langjährigen Erfahrung mit der Kartierung externer Angriffsflächen gestoßen ist.

Wildcard-Szenarien

1. Basic DNS-Einrichtung

Dies ist keine vollständige Liste, sondern eine Auswahl von Szenarien, die unser Entwicklungsteam im Laufe der Jahre gefunden hat.
Dies ist der Standardfall für eine Domänen-Wildcard, die vollständig auf DNS-Ebene erstellt wird. Der DNS-Server antwortet immer mit denselben Einträgen für die unbeabsichtigten Subdomänen, die sich normalerweise nicht vollständig mit den werbenden Subdomänen überschneiden. Werfen wir einen Blick auf das folgende Beispiel:

  • domain.com ist eine von einem Unternehmen gekaufte Domain, die sich gezielt an eine bestimmte Zielgruppe richtet.
  • www.domain.com ist eine Subdomain, die erstellt wurde, um die Hauptwebsite des Unternehmens zu hosten.
  • *.www.domain.com ist eine Wildcard, die das Unternehmen darunter eingerichtet hat, um Mehrfachkonfigurationen zu vermeiden oder aus Sicherheitsgründen.
  • staging.www.domain.com ist die Staging-Umgebung für die Haupt-Website.

Die DNS-Zone würde wie folgt aussehen:

  • domain.com NS 1.1.1.1
  • www.domain.com A 1.1.1.1
  • *.www.domain.com CNAME www.domain.com
  • staging.www.domain.com A 1.1.1.2

Bei der Auflösung und Aufzählung für diesen Fall würden die Ergebnisse wie folgt aussehen:

  • domain.com -> 1.1.1.1
  • www.domain.com -> 1.1.1.1
  • random.www.domain.com -> www.domain.com -> 1.1.1.1
  • random2.www.domain.com -> www.domain.com -> 1.1.1.1
  • anything_else.www.domain.com -> www.domain.com -> 1.1.1.1
  • staging.www.domain.com -> 1.1.1.2

2. Erweiterung DNS-Einrichtung (Untergruppen)

In diesem Fall beantwortet der DNS-Server die Anfragen für verschiedene Unterdomänen (oder sogar verschiedene Anfragen für dieselbe Unterdomäne) mit zufälligen Teilmengen von Datensätzen aus einem vordefinierten Pool von Datensätzen. Daher können die zurückgesendeten ungewollten Nachrichten die gleichen oder unterschiedliche Datensätze enthalten, die dem Verhalten einer zufälligen Umgebung entsprechen. Dies erschwert die Erkennung von unerwünschten Inhalten, da es immer schwierig sein wird, den gesamten Datensatzpool zu finden.

Schauen wir uns das Beispiel der Verfolgung des A-Datensatzes an, das entsprechend auch auf jede andere Art von Datensatz angewendet werden könnte.

  • domain.com ist eine von einem Unternehmen gekaufte Domain, die gezielt auf eine bestimmte Zielgruppe ausgerichtet ist.
  • www.domain.com ist eine Subdomain, die für die Hauptwebsite des Unternehmens eingerichtet wurde.
  • *.www.domain.com ist eine Wildcard, die das Unternehmen darunter eingerichtet hat, um Mehrfachkonfigurationen zu vermeiden oder aus Sicherheitsgründen.
  • staging.www.domain.com ist die Staging-Umgebung für die Haupt-Website.

Die DNS-Zone würde wie folgt aussehen:

  • domain.com NS 1.1.1.1
  • www.domain.com A 1.1.1.1
  • *.www.domain.com ein Pool von Datensätzen für den DNS-A-Eintrag:
    o [1.1.1.3, 1.1.1.254]
    o 2.2.2.0/24
  • staging.www.domain.com A 1.1.1.2

Bei der Auflösung und Aufzählung für diesen Fall würden die Ergebnisse lauten:

  • domain.com -> 1.1.1.1
  • www.domain.com -> 1.1.1.1
  • random.www.domain.com -> 1.1.1.56, 1.1.1.85
  • random2.www.domain.com -> 1.1.1.56, 2.2.2.25
  • anything_else.www.domain.com -> www.domain.com -> 2.2.2.2, 2.2.2.3
  • staging.www.domain.com -> 1.1.1.2

3. Erweiterte DNS-Einrichtung II (Datensatzerstellung auf Anfrage)

In einigen Fällen können DNS-Einträge auf der Grundlage der angeforderten Domäne spontan erstellt werden. Dieser Fall unterscheidet sich deutlich vom vorherigen, obwohl er normalerweise auch auf DNS-Ebene eingerichtet wird. Die Wildcard ist in diesem Fall so eingestellt, dass sie einen oder mehrere Abschnitte der Subdomain als Teil der Antwort auf die Anfrage zurückgibt. Dies wird normalerweise für NS-, MX-, TXT- oder andere textbasierte Einträge verwendet.

 

Nachstehend sehen Sie ein einfaches Beispiel für die Erzeugung von Einträgen auf der Grundlage einer Anfrage. Entsprechend sind auch komplexere Varianten möglich.

  • com ist eine von einem Unternehmen gekaufte Domain, die gezielt auf eine bestimmte Zielgruppe ausgerichtet ist.
  • domain.com ist eine Subdomain, die für die Hauptwebsite des Unternehmens eingerichtet wurde.
  • *.www.domain.com ist eine Wildcard, die das Unternehmen darunter eingerichtet hat, um Mehrfachkonfigurationen zu vermeiden oder aus Sicherheitsgründen.
  • www.domain.com ist die Staging-Umgebung für die Haupt-Website.

Die DNS-Zone würde wie folgt aussehen:

  • com NS 1.1.1.1
  • domain.com A 1.1.1.1
  • *.www.domain.com ein spontan erstellter TXT-Eintrag: „%s.domain.com“
  • www.domain.com A 1.1.1.2

Bei der Auflösung und Aufzählung für diesen Fall würden die Ergebnisse lauten:

  • com -> 1.1.1.1
  • domain.com -> 1.1.1.1
  • zufällig.www.domain.com -> zufällig.domain.com
  • www.domain.com -> random2.domain.com
  • www.domain.com -> anything_else.domain.com
  • www.domain.com -> 1.1.1.2

4. Erstellung von Non-DNS-Anzeigen

Bisher haben wir beschrieben, wie die DNS-Einträge verwendet werden können, um Wildcards und werbende Subdomains einzurichten. Dadurch funktioniert die Erkennung dieser Konfigurationen in einer einzigen Dimension. Dies ist jedoch nicht immer der Fall. Im Laufe der Jahre ist unser Team auf „kreativere“ Szenarien wie das unten beschriebene gestoßen. In diesem Fall ist die Wildcard auf DNS-Ebene auf einen bestimmten Server gerichtet, und die Anzeige ist in einem Reverse-Proxy eingerichtet, der nur bestimmte Webanwendungen für bestimmte Domänen zurückgibt.

Die Einrichtung auf DNS-Ebene sieht wie folgt aus:

  • com NS 1.1.1.1
  • domain.com A 1.1.1.1
  • *.www.domain.com A 1.1.1.2

Die Einrichtung auf der Reverse-Proxy-Ebene würde wie folgt aussehen:

  • www.domain.com -> web app 2
playing cards and jokers

EASM-Lösungen und die Erkennung von Wildcards

Wie gehen die meisten EASM-Lösungen mit der Erkennung von Wildcards und unbeabsichtigten Domänen um? Durch Vergleich: Wir scannen die aktuelle Domäne mit anderen Domänen auf der gleichen DNS-Ebene, und wenn es einen Unterschied bei den häufigsten Antworten gibt, dann haben wir eine wirklich echte werbende Domäne.
Dies ergibt einige Probleme bei manchen der oben vorgestellten Konfigurationen: wenn die Datensätze auch unter versehentlichen Domänen variieren können oder wenn die Datensätze gleich sind. Für diese Fälle müssen spezielle Lösungen in Betracht gezogen werden.
Für den allgemeinsten Fall und für die einfacheren Fälle werden wir in den folgenden Abschnitten zeigen, wie wir eine Wildcard erkennen und wie wir eine beworbene von einer ungewollten Domain unterscheiden können.

1. Erkennung einer Wildcard

Die einfachste Methode zur Erkennung einer Wildcard ist die Überschneidung von DNS-Einträgen mit einer Reihe „zufälliger“ Subdomänen. Dies geschieht in folgenden Schritten – wir werden example.com als Beispiel verwenden:

  1. Erstellen Sie „zufällige“ Subdomains der zu untersuchenden Domäne. Wir schreiben „zufällig“, weil jedes Wort genauso zufällig ist wie jedes andere und die Verwendung von www oder ww2 als zufällige Subdomains diese Technik zunichtemachen würde. Um dies zu erreichen, suchen wir nach rein zufällig aussehenden Domains wie iAiZRcK2gT oder xo9b5Z1kpr. Die Größe der Menge an Subdomains wird es ermöglichen, mehr oder weniger Fälle abzudecken, aber es wird den Datenverkehr und die Kosten der Erkennung in die Höhe treiben, da wir mehr Domains auflösen müssen.
  2. Auflösen der Zufallsdomänen: Versuchen Sie, die erhaltenen Zufallsdomänen aufzulösen. Mit der Menge der aufgelösten Datensätze können wir mit der Analyse beginnen und entscheiden, ob eine bestimmte Domäne eine Wildcard ist oder nicht.
  3. Analyse und Erkennung: Es gibt einige eindeutige Fälle und einige spezifischere Ergebnisse, die leicht zu analysieren sind:
     
    • Alle Subdomänen können nicht aufgelöst werden, es sollte keine Wildcard sein.
    • Alle Subdomains werden zu denselben Datensätzen aufgelöst, dann können wir mit großer Sicherheit sagen, dass es sich um eine Wildcard handelt.
    • Neben den beiden oben beschriebenen Möglichkeiten gibt es noch Tausende andere, aber es ist nicht der Zweck dieses Artikels, jeden einzelnen Fall zu analysieren.

2. Unterscheidung zwischen einer ungewollten und einer gewollten Domain

Woher wissen wir, ob eine bestimmte Domain, sagen wir advertent.domain.com, werblich ist oder nicht?

Bei den meisten Lösungen wird zunächst geprüft, ob die übergeordnete Domäne eine Wildcard ist. Wir müssen bedenken, dass eine ungewollte Domain nur unterhalb einer Wildcard-Domain existieren kann. Wenn die übergeordnete Domäne keine Wildcard ist, können wir mit Sicherheit sagen, dass die Domäne zulässig ist.

Wenn das übergeordnete Element eine Wildcard ist – zum Beispiel prüfen wir advertent.wildcard.domain.com, und wildcard.domain.com ist eine Wildcard-Domain –, wie unterscheiden wir dann zwischen einer werbenden und einer ungewollten Domain? Wie Sie sehen werden, hat die Lösung viele Parallelen mit der Erkennung einer Wildcard und folgt den folgenden Schritten:

  1. Erstellen Sie „zufällige“ Domains auf der gleichen Domain wie die zu untersuchende Domainwildcard.domain.com. Hier gelten die gleichen Einschränkungen für random wie in der obigen Erklärung.
  2. Lösen Sie die untersuchte Domäne auf: Wir müssen das Ergebnis dieser Auflösung mit dem Ergebnis der anderen Auflösungen vergleichen.
  3. Lösen Sie die Zufallsdomänen auf: Versuchen Sie, die erhaltenen Zufallsdomänen aufzulösen. Mit der Menge der aufgelösten Datensätze können wir mit der Analyse beginnen und entscheiden, ob eine bestimmte Domäne eine Wildcard ist oder nicht.
  4. Analyse und Unterscheidung: Es gibt einige eindeutige Fälle und einige spezifischere Ergebnisse, die leicht zu analysieren sind:
     
    • Alle Domänen werden nicht aufgelöst, aber die analysierte Domäne wird aufgelöst, d.h. sie ist bekannt.
    • Die untersuchte Domäne wird nicht aufgelöst.
    • Alle zufälligen Domänen werden zu denselben Datensätzen aufgelöst, und die untersuchte Domäne wird zu diesen Datensätzen aufgelöst, dann können wir mit großer Sicherheit sagen, dass es sich um eine versehentliche Domäne handelt.
    • Neben den oben beschriebenen Möglichkeiten gibt es noch Tausende andere, aber es ist nicht der Zweck dieses Artikels, jeden einzelnen Fall zu analysieren.

Schlussfolgerung

Dieser Artikel zeigt, dass die Erkennung und Handhabung von Wildcard-Domains eine Herausforderung für External Attack Surface Management-Lösungen darstellt. Dank jahrelanger Erfahrung und der einzigartigen Expertise der Sweepatic EASM-Plattform haben wir die Art und Weise, wie wir mit diesen Assets bei der Erkennung, Analyse und dem kontinuierlichen Mapping von Angriffsflächen umgehen, deutlich verbessert. Durch die sorgfältige Überprüfung von Wildcard-Domains stellen wir sicher, dass wir die Domains, die tatsächlich Teil der Angriffsfläche – und damit anfällig für bösartige Akteure – sind, von Domains unterscheiden, die zwar aufgelöst, aber nicht konfiguriert sind. Das Ergebnis ist ein vollständiger, genauer und ständig aktualisierter Überblick über die Online-Präsenz Ihres Unternehmens. Dies ist immer der erste Schritt, um Ihr Unternehmen vor Online-Angreifern zu schützen!

Fordern Sie Ihr persönliches Demo an

Sind Sie neugierig, was die Sweepatic External Attack Surface Management Plattform für ihr Unternehmen tun kann? Fordern Sie Ihr kostenloses Demo an!

Folgen Sie uns auf LinkedIn und Twitter und abonnieren Sie unseren Newsletter, um über Unternehmensnachrichten und neue Blogposts informiert zu werden!

Hier erfahren Sie mehr über die Einzelheiten von EASM, seine Anwendungsfälle und Tech-Talks.