DNS-Verlaufslösungen für mehr Transparenz und Cybersicherheit im Internet

Praktische Anwendung

• DNS-Asset-Ermittlung

  Halten Sie das Bestandsverzeichnis aktuell, indem Sie verbundene oder versteckte Domänen und Subdomänen aufdecken, die für bestimmte Webanwendungen und -dienste verwendet werden.

• Erkennung von Bedrohungen

  Identifizieren Sie ungewöhnliche DNS-Auflösungsmuster, die auf Botnet-Aktivitäten oder kompromittierte Infrastrukturen hinweisen, die zum Hosten oder Verteilen von Malware genutzt werden.

• Überwachung von Bedrohungsakteuren

  Bleiben Sie auf der Hut vor DNS-Auflösungen, die mit bekannten Bedrohungsakteuren in Verbindung gebracht werden, und entdecken Sie Muster oder Anomalien, die auf bösartige Aktivitäten hinweisen könnten.

• Schutz der Marke

  Überwachen Sie DNS-Eintragsänderungen, um Domain-Hijacking-Versuche zu erkennen und zu beurteilen, wie die zugehörigen Domains den Ruf der Marke beeinträchtigen könnten.

• Risikobewertung durch Dritte

  Verwenden Sie DNS-Daten, um Änderungen der Domänenkonfiguration zu verfolgen, verbundene Infrastrukturen zu identifizieren und verdächtige Aktivitäten im Zusammenhang mit Anbietern und anderen Dritten zu erkennen.

• Aufdeckung von Betrug

  Erkennen Sie betrügerisches Verhalten durch die Analyse von DNS-Mustern, Änderungen der Domäneneigentümerschaft und früheren Assoziationen mit bösartigen Servern.

Häufig gestellte Fragen

Was sind DNS-Einträge?

Ein DNS-Eintrag ist ein im Domain Name System (DNS) gespeicherter Datensatz, der Domänennamen bestimmten Ressourcen wie IP-Adressen, Mailservern oder anderen Diensten zuordnet. Ein DNS-Server löst diese Einträge auf, um den Internetverkehr zu leiten und domänenbezogene Dienste zu verwalten. Übliche DNS-Datensatztypen sind:

• A-Eintrag: Ordnet eine Domäne einer IPv4-Adresse zu.
• AAAA-Eintrag: Ordnet eine Domäne einer IPv6-Adresse zu.
• MX-Eintrag: Gibt Mailserver für die E-Mail-Zustellung an.
• NS-Eintrag: Listet autoritative Nameserver für eine Domäne auf.
• TXT-Eintrag: Speichert textbasierte Informationen, die häufig für die Überprüfung des Domainbesitzes (z. B. SPF-, DKIM- oder DMARC-Einstellungen) oder andere Metadaten verwendet werden. Um beispielsweise die Eigentümerschaft einer Website für die Google Search Console zu überprüfen, muss ein bestimmter TXT-Eintrag zur Liste der Host-Einträge für einen Domainnamen hinzugefügt werden.
• CNAME-Eintrag: Ordnet einen Alias oder eine Subdomain einem anderen Domänennamen zu. Zum Beispiel kann er blog.example.com auf www.example.com umleiten.
• SOA-Eintrag (Start of Authority): Enthält administrative Informationen über die Domäne, z. B. den primären Nameserver, die Kontakt-E-Mail des Domänenadministrators und die Versionsnummer der DNS-Zone.
• PTR-Eintrag (Pointer): Löst eine IP-Adresse in einen Domänennamen auf, wird häufig bei Reverse-DNS-Lookups verwendet.

Um Informationen über die aktuellen DNS-Einträge einer Domain zu erhalten, können Sie unser DNS-Lookup-Tool verwenden oder DNS lookup API.

Was ist die DNS-Historie eines Domänennamens?

Die DNS-Historie eines Domänennamens ist eine Liste früherer DNS-Konfigurationen, einschließlich Änderungen an IP-Adressen, Namensservern, Mailservern und anderen DNS-Einträgen im Laufe der Zeit. Sie gibt Aufschluss darüber, wie sich die Infrastruktur einer Domäne entwickelt hat, und kann Eigentümerwechsel, Migrationen oder potenziellen Missbrauch aufzeigen.

Im Gegensatz zu einem beträchtlichen Teil der WHOIS-Daten werden DNS-Daten nicht aus Datenschutzgründen geschwärzt, so dass historische DNS-Datensätze für Cybersicherheitszwecke recht nützlich sein können.

Das Domain Name System wurde nicht entwickelt, um historische Datensätze zu speichern, aber da sie sehr wertvoll sind, ist es nur natürlich, dass unabhängige Anbieter begonnen haben, DNS-Historiendatenbanken zu erstellen und zu pflegen.

Welche Daten können Sie aus dem DNS-Verlauf gewinnen?

Der DNS-Verlauf der Domäne enthält in der Regel Details wie:

• Historische A-Einträge: Änderungen an IPv4-Adressenzuordnungen.
• Historische AAAA-Einträge: Änderungen an IPv6-Adressenzuordnungen.
• Historische MX-Einträge: Änderungen an Mailserver-Konfigurationen.
• Historische NS-Einträge: Aktualisierungen der maßgeblichen Nameserver.
• Historische TXT-Datensätze: Frühere textbasierte Informationen, die oft mit der Überprüfung oder der Sicherheit zusammenhängen.
• Historische CNAME-Einträge: Änderungen an Aliasen oder Umleitungen für Subdomains.
• Historische SOA-Einträge: Aktualisierungen der administrativen Details, wie z. B. des primären Namensservers oder der Zonenversion.
• Historische PTR-Einträge: Historische Zuordnungen von IP-Adressen zu Domänennamen, die bei umgekehrten DNS-Lookups verwendet werden.
• Änderungen und Aktualisierungen mit Zeitstempel: Eine Zeitleiste zeigt an, wann jeder Datensatz hinzugefügt, entfernt oder aktualisiert wurde.

Diese Informationen liefern eine detaillierte Zeitleiste der DNS-Aktivitäten einer Domain und helfen dabei, Muster, Infrastrukturänderungen, potenzielle Verbindungen zu bösartigen Akteuren und vieles mehr aufzudecken.

Hier ein Beispiel für die Verwendung unseres historischen DNS-Lookup-Tools für example.com, das historische IP-zu-Domain- oder Domain-zu-IP-Informationen abruft:

Wozu kann ich historische DNS-Daten verwenden?

Historische DNS-Daten bieten eine breite Palette praktischer Anwendungen in den Bereichen Cybersicherheit, Bedrohungsanalyse und Asset Management. Sie können sie nutzen, um:

• Hinzufügen von DNS-Kontext zu SIEM-, SOAR- und TIP-Plattformen: Anreicherung von Sicherheitssystemen mit DNS-Informationen für eine bessere Entscheidungsfindung.
• Beschleunigen Sie die Erkennung von und Reaktion auf Bedrohungen: Identifizieren Sie ungewöhnliche DNS-Änderungen oder Muster, die mit bösartigen Aktivitäten in Verbindung stehen.
• Erweitern Sie die Erkennung von Ressourcen und die Verwaltung von Schwachstellen: Finden Sie nicht verwaltete oder vergessene Domains, Subdomains und zugehörige Assets, die über DNS-Einträge zugeordnet sind.
• Identifizieren Sie ungesicherte DNS-Einträge und ungesicherte Subdomänen: Erkennen Sie Fehlkonfigurationen, die zur Offenlegung oder Ausnutzung von Daten führen könnten.
• Erweitern Sie die Erfassung von Bedrohungsdaten: Analysieren Sie historische DNS-Datensätze, um Verbindungen zwischen Domänen und der bereits bekannten Infrastruktur von Bedrohungsakteuren aufzudecken.
• Überwachen Sie Änderungen in der DNS-Infrastruktur von verdächtigen oder bösartigen Domänen: Bleiben Sie über Aktualisierungen informiert, die neue Bedrohungen signalisieren könnten.
• Führen Sie Analysen zur Erkennung von SaaS-Diensten durch: Identifizieren Sie Dienste und Plattformen, die mit einer Domain verknüpft sind, anhand von Hinweisen aus DNS-Einträgen und Subdomains.

Diese Funktionen machen historische DNS-Daten zu einer sehr nützlichen Ressource für die Verbesserung der Sicherheitslage und die Gewinnung tieferer Einblicke in die Domänenaktivitäten und die damit verbundenen Risiken.

Wie kann man den DNS-Verlauf überprüfen?

So prüfen Sie den DNS-Verlauf:

• Verwenden Sie ein historisches DNS-Lookup-Tool wie unser DNS Chronicle Lookup.
• Geben Sie den Domänennamen ein, den Sie untersuchen möchten.
• Überprüfen Sie die historischen Daten zu DNS-Einträgen, einschließlich Änderungen und Aktualisierungen im Laufe der Zeit.

Alternativ können Sie auch den WhoisXMLAPI DNS Database Download Dienst oder die DNS-Chronik-API verwenden. Diese Datenbereitstellungsmodelle bieten detaillierte, mit Zeitstempeln versehene DNS-Datensätze und könnten sich als nützlich erweisen, wenn Sie Anfragen nach historischen DNS-Datensätzen automatisieren müssen.

Wie lässt sich der DNS-Verlauf zur Erkennung von Sicherheitsbedrohungen nutzen?

Der DNS-Verlauf kann helfen, verdächtige Aktivitäten oder Muster zu erkennen, wie z. B.:

• Plötzliche Änderungen von Nameservern oder IP-Adressen, die darauf hindeuten könnten, dass eine Domäne für eine Phishing- oder Malware-Kampagne missbraucht wird.
• Schnelle Änderungen in A- oder AAAA-DNS-Einträgen - eine Technik, die als Fast-Flux bezeichnet wird und dazu beiträgt, herkömmliche Erkennungsmethoden zu umgehen, was oft ein Hinweis auf bösartige Aktivitäten ist.
• Domänen mit Datensätzen, die auf bekannte bösartige Infrastrukturen verweisen (auf der Grundlage von IoCs, die von Threat Intelligence bereitgestellt werden).

Durch die Analyse des DNS-Verlaufs können Sicherheitsteams potenzielle Bedrohungen erkennen und proaktiv darauf reagieren.

Wie lässt sich der DNS-Verlauf für die Überwachung von Bedrohungsakteuren nutzen?

Der DNS-Verlauf kann Verbindungen zwischen Domänen und Bedrohungsakteuren aufdecken:

• Aufspüren der wiederholten Verwendung bestimmter IP-Adressen oder Namensserver und anderer Muster bei DNS-Eintragsänderungen, die mit bekannten Angreifern in Verbindung stehen.
• Aufdeckung zusätzlicher Infrastrukturen von Bedrohungsakteuren durch DNS-Muster sowie Erkennen neuer Details über ihre Methoden und Aktivitäten.
• Überwachung der Migration der Infrastruktur von Bedrohungsakteuren und proaktive Identifizierung von noch nicht genutzter Infrastruktur.

Dies hilft Cybersecurity-Anbietern, die sich entwickelnden Taktiken und Infrastrukturen der Bedrohungsakteure im Auge zu behalten.

Wie kann man den DNS-Verlauf zur Betrugserkennung nutzen?

Der DNS-Verlauf hilft bei der Aufdeckung von Betrug:

• Aufzeichnung von Änderungen, die mit Phishing- oder Betrugsaktivitäten übereinstimmen, wie z. B. der schnelle Wechsel von IP-Adressen (A- und AAAA-Einträge) oder Namensservern.
• Verwendung von Wegwerf- oder verdächtigen DNS-Einträgen mit niedrigen TTL-Werten oder Fehlen von legitimen MX-Einträgen, die normalerweise vorhanden sein sollten.
• Historische Daten, die betrügerische Domänen mit bekannten bösartigen Netzwerken verbinden, z. B. gemeinsame Namensserver, IP-Adressen und Registrierstellen.

Diese Erkenntnisse helfen den Ermittlern, betrügerische Machenschaften aufzuspüren und zu entschärfen.

Wie kann man die DNS-Historie für die Asset-Ermittlung nutzen?

Der DNS-Verlauf bietet einen umfassenden Überblick über die Domänenaktivitäten:

• Identifizieren Sie Domains oder Subdomains, die mit Ihrer Organisation verbunden sind und die ein Risiko darstellen könnten, wenn sie nicht überwacht oder nach Ablauf oder Übertragung von anderen böswillig genutzt werden.
• Weisen Sie auf vergessene oder nicht überwachte digitale Bestände hin, wie z. B. alte Subdomains oder Backup-Domains, die möglicherweise noch öffentlich zugänglich sind und bei unzureichender Sicherung als Einstiegspunkte für Angreifer dienen können.
• Aufdecken von DNS-Problemen wie falsch konfigurierte DNS-Einträge, die sensible Daten wie interne Dienste, sensible IP-Adressen oder Cloud-Ressourcen offenlegen könnten.

Durch die Nutzung des DNS-Verlaufs können Unternehmen die Transparenz und Sicherheit ihrer digitalen Ressourcen verbessern.

Wie kann man den DNS-Verlauf für den Markenschutz nutzen?

Der DNS-Verlauf unterstützt den Markenschutz, indem er es Ihnen ermöglicht, zu erkennen:

• Cybersquatting-Domänen, die sich als Ihre Marke ausgeben und verdächtige IP-Änderungen oder die wiederholte Verwendung von Nameservern aufweisen, die mit Phishing-Kampagnen verbunden sind. Solche Änderungen können auf böswillige Absichten der Domänenbesitzer hinweisen.
• Potenziell bösartiger Datenverkehr, der auf Versuche zur Verunstaltung der Website hinweisen könnte. Website Application Firewalls (WAFs) können solchen Datenverkehr von bekannten bösartigen IP-Adressen, die Zugriff auf Ihre Website anfordern, blockieren.
• Verdächtige Subdomains, die mit Ihrer eigenen Infrastruktur verlinkt sind, was auf eine Übernahme der Subdomains hindeuten könnte.

Wir empfehlen, den DNS-Verlauf zusammen mit prädiktiven Threat Intelligence-Feeds zu verwenden, um bessere Ergebnisse und eine bessere Korrelation beim Markenschutz zu erzielen. Lesen Sie unseren Blog-Beitrag, um mehr über die Verwendung des DNS-Verlaufs zur Prävention von Markenangriffen zu erfahren.