DNS-Verlaufslösungen für mehr Transparenz und Cybersicherheit im Internet

Praktische Anwendung

• DNS-Asset-Ermittlung

  Halten Sie Ihr Asset-Inventar auf dem neuesten Stand, indem Sie verbundene oder versteckte Domains und Subdomains aufdecken, die für bestimmte Webanwendungen und Dienste verwendet werden.

• Erkennung von Bedrohungen

  Identifizieren Sie ungewöhnliche DNS-Auflösungsmuster, die auf Botnetz-Aktivitäten oder kompromittierte Infrastrukturen hinweisen können, die zum Hosten oder Verbreiten von Malware verwendet werden.

• Überwachung von Bedrohungsakteuren

  Bleiben Sie auf dem Laufenden bezüglich DNS-Auflösungen, die mit bekannten Bedrohungsakteuren in Verbindung stehen, und decken Sie Muster oder Anomalien auf, die auf böswillige Aktivitäten hindeuten könnten.

• Schutz der Marke

  Überwachen Sie DNS-Eintragsänderungen, um Domain-Hijacking-Versuche zu erkennen und zu beurteilen, wie die zugehörigen Domains den Ruf der Marke beeinträchtigen könnten.

• Risikobewertung durch Drittanbieter

  Verwenden Sie DNS-Daten, um Änderungen an der Domainkonfiguration nachzuverfolgen, verbundene Infrastrukturen zu identifizieren und verdächtige Aktivitäten im Zusammenhang mit Anbietern und anderen Dritten zu erkennen.

• Aufdeckung von Betrug

  Erkennen Sie betrügerisches Verhalten durch die Analyse von DNS-Mustern, Änderungen der Domaineigentümerschaft und früheren Assoziationen mit bösartigen Servern.

Häufig gestellte Fragen

Was sind DNS-Einträge?

Ein DNS-Eintrag ist ein Datensatz, der im Domain Name System (DNS) gespeichert ist und Domainnamen bestimmten Ressourcen wie IP-Adressen, Mailservern oder anderen Diensten zuordnet. Ein DNS-Server löst diese Einträge auf, um den Internetverkehr zu lenken und domainbezogene Dienste zu verwalten. Zu den gängigen DNS-Eintragstypen gehören:

• A-Eintrag: Ordnet eine Domain einer IPv4-Adresse zu.
• AAAA-Eintrag: Ordnet eine Domain einer IPv6-Adresse zu.
• MX-Eintrag: Gibt Mailserver für die E-Mail-Zustellung an.
• NS-Eintrag: Listet autoritative Nameserver für eine Domain auf.
• TXT-Eintrag: Speichert textbasierte Informationen, die häufig zur Überprüfung der Domain-Inhaberschaft (z. B. SPF-, DKIM- oder DMARC-Einstellungen) oder für andere Metadaten verwendet werden. Um beispielsweise die Inhaberschaft einer Website für die Nutzung der Google Search Console zu überprüfen, muss ein bestimmter TXT-Eintrag zur Liste der Host-Einträge für einen Domainnamen hinzugefügt werden.
• CNAME-Eintrag: Ordnet einen Alias oder eine Subdomain einem anderen Domainnamen zu. Zum Beispiel kann er blog.example.com auf www.example.com umleiten.
• SOA-Eintrag (Start of Authority): Enthält administrative Informationen über die Domain, z. B. den primären Nameserver, die Kontakt-E-Mail des Domainadministrators und die Versionsnummer der DNS-Zone.
• PTR-Eintrag (Pointer): Löst eine IP-Adresse in einen Domainnamen auf; wird häufig bei Reverse-DNS-Lookups verwendet.

Um Informationen über die aktuellen DNS-Einträge einer Domain zu erhalten, können Sie unser DNS Lookup-Tool oder die DNS Lookup API nutzen.

Was ist der DNS-Verlauf eines Domainnamens?

Der DNS-Verlauf eines Domainnamens ist eine Liste früherer DNS-Konfigurationen, einschließlich Änderungen an IP-Adressen, Nameservern, Mailservern und anderen DNS-Einträgen im Laufe der Zeit. Er gibt Aufschluss darüber, wie sich die Infrastruktur einer Domain entwickelt hat, und kann Eigentümerwechsel, Migrationen oder potenziellen Missbrauch aufdecken.

Im Gegensatz zu einem beträchtlichen Teil der WHOIS-Daten werden DNS-Daten nicht aus Datenschutzgründen redigiert, so dass DNS-Verlaufsdatensätze für Cybersicherheitszwecke recht nützlich sein können.

Das Domain Name System wurde nicht dafür entwickelt, Verlaufsdaten zu speichern, aber da diese einen hohen Wert haben, ist es nur natürlich, dass unabhängige Anbieter damit begonnen haben, DNS-Verlaufsdatenbanken zu erstellen und zu pflegen.

Welche Daten lassen sich aus dem DNS-Verlauf gewinnen?

Der DNS-Verlauf der Domain enthält in der Regel Details wie:

• A-Verlaufseinträge: Änderungen an IPv4-Adressenzuordnungen.
• AAAA-Verlaufseinträge: Änderungen an IPv6-Adressenzuordnungen.
• MX-Verlaufseinträge: Änderungen an Mailserver-Konfigurationen.
• NS-Verlaufseinträge: Aktualisierungen der maßgeblichen Nameserver.
• TXT-Verlaufsdatensätze: Frühere textbasierte Informationen, die oft mit der Überprüfung oder der Sicherheit zusammenhängen.
• CNAME-Verlaufseinträge: Änderungen an Aliasen oder Umleitungen für Subdomains.
• SOA-Verlaufseinträge: Aktualisierungen der administrativen Details, wie z. B. des primären Namensservers oder der Zonenversion.
• PTR-Verlaufseinträge: Historische Zuordnungen von IP-Adressen zu Domainnamen, die bei Reverse DNS-Lookups verwendet werden.
• Änderungen und Aktualisierungen mit Zeitstempel: Eine Zeitleiste zeigt an, wann jeder Datensatz hinzugefügt, entfernt oder aktualisiert wurde.

Diese Informationen liefern eine detaillierte Zeitleiste der DNS-Aktivitäten einer Domain und helfen dabei, Muster, Infrastrukturänderungen, potenzielle Verbindungen zu bösartigen Akteuren und vieles mehr aufzudecken.

Hier ein Beispiel für die Verwendung unseres DNS-Verlaufs-Lookup-Tools für example.com, das IP-zu-Domain- oder Domain-zu-IP-Verlaufsinformationen abruft:

Wozu kann ich DNS-Verlaufsdaten verwenden?

DNS-Verlaufsdaten bieten eine breite Palette praktischer Anwendungen in den Bereichen Cybersicherheit, Bedrohungsanalyse und Asset Management. Sie können sie für folgende Zwecke verwenden:

• Hinzufügen von DNS-Kontext zu SIEM-, SOAR- und TIP-Plattformen: Anreicherung von Sicherheitssystemen mit DNS-Informationen für eine bessere Entscheidungsfindung.
• Beschleunigen Sie die Erkennung von und Reaktion auf Bedrohungen: Identifizieren Sie ungewöhnliche DNS-Änderungen oder Muster, die mit bösartigen Aktivitäten in Verbindung stehen.
• Erweitern Sie die Erkennung von Assets und die Verwaltung von Schwachstellen: Finden Sie nicht verwaltete oder vergessene Domains, Subdomains und zugehörige Assets, die über DNS-Einträge zugeordnet sind.
• Identifizieren Sie ungesicherte DNS-Einträge und ungesicherte Subdomains: Erkennen Sie Fehlkonfigurationen, die zur Offenlegung oder Ausnutzung von Daten führen könnten.
• Erweitern Sie die Erfassung von Bedrohungsdaten: Analysieren Sie DNS-Verlaufsdatensätze, um Verbindungen zwischen Domains und der bereits bekannten Infrastruktur von Bedrohungsakteuren aufzudecken.
• Überwachen Sie Änderungen in der DNS-Infrastruktur von verdächtigen oder bösartigen Domains: Bleiben Sie über Aktualisierungen informiert, die neue Bedrohungen signalisieren könnten.
• Führen Sie Analysen zur Erkennung von SaaS-Diensten durch: Identifizieren Sie Dienste und Plattformen, die mit einer Domain verknüpft sind, anhand von Hinweisen aus DNS-Einträgen und Subdomains.

Diese Funktionen machen DNS-Verlaufsdaten zu einer äußerst nützlichen Ressource, um die Sicherheitslage zu verbessern und tiefere Einblicke in die Domain-Aktivitäten und die damit verbundenen Risiken zu gewinnen.

Wie kann man den DNS-Verlauf überprüfen?

So prüfen Sie den DNS-Verlauf:

• Verwenden Sie ein DNS-Verlaufs-Lookup-Tool wie unser DNS Chronicle Lookup.
• Geben Sie den Domainnamen ein, den Sie untersuchen möchten.
• Überprüfen Sie die Verlaufsdaten zu DNS-Einträgen, einschließlich Änderungen und Aktualisierungen im Laufe der Zeit.

Alternativ können Sie auch den DNS Database Download-Dienst oder die DNS Chronicle API von WhoisXMLAPI verwenden. Diese Datenbereitstellungsmodelle bieten detaillierte, mit Zeitstempeln versehene DNS-Datensätze und könnten sich als nützlich erweisen, wenn Sie Anfragen nach DNS-Verlaufsdatensätzen automatisieren müssen.

Wie lässt sich der DNS-Verlauf zur Erkennung von Sicherheitsbedrohungen nutzen?

Der DNS-Verlauf kann helfen, verdächtige Aktivitäten oder Muster zu erkennen, wie z. B.:

• Plötzliche Änderungen von Nameservern oder IP-Adressen, die darauf hindeuten könnten, dass eine Domain für eine Phishing- oder Malware-Kampagne missbraucht wird.
• Schnelle Änderungen an A- oder AAAA-DNS-Einträgen – eine Technik namens Fast Flux, die dabei hilft, herkömmliche Erkennungsmethoden zu umgehen und oft ein Indikator für böswillige Aktivitäten ist.
• Domains mit Datensätzen, die auf bekannte bösartige Infrastrukturen verweisen (auf der Grundlage von IoCs, die von Threat Intelligence bereitgestellt werden).

Durch die Analyse des DNS-Verlaufs können Sicherheitsteams potenzielle Bedrohungen erkennen und proaktiv darauf reagieren.

Wie lässt sich der DNS-Verlauf für die Überwachung von Bedrohungsakteuren nutzen?

Der DNS-Verlauf kann Verbindungen zwischen Domains und Bedrohungsakteuren aufdecken:

• Aufspüren der wiederholten Verwendung bestimmter IP-Adressen oder Namensserver und anderer Muster bei DNS-Eintragsänderungen, die mit bekannten Angreifern in Verbindung stehen.
• Aufdeckung zusätzlicher Infrastrukturen von Bedrohungsakteuren durch DNS-Muster sowie Erkennen neuer Details über ihre Methoden und Aktivitäten.
• Überwachung der Migration der Infrastruktur von Bedrohungsakteuren und proaktive Identifizierung noch nicht genutzter Infrastruktur.

Dies hilft Cybersicherheitsanbietern, die sich entwickelnden Taktiken und Infrastrukturen der Bedrohungsakteure im Auge zu behalten.

Wie kann man den DNS-Verlauf zur Betrugserkennung nutzen?

Der DNS-Verlauf hilft bei der Betrugserkennung, indem er Folgendes aufdeckt:

• Aufzeichnung von Änderungen, die mit Phishing- oder Betrugsaktivitäten übereinstimmen, wie z. B. der schnelle Wechsel von IP-Adressen (A- und AAAA-Einträge) oder Namensservern.
• Verwendung von einmaligen oder verdächtigen DNS-Einträgen mit niedrigen TTL-Werten oder ohne legitime MX-Einträge, die normalerweise vorhanden sein sollten.
• Verlaufsdaten, die betrügerische Domains mit bekannten bösartigen Netzwerken wie gängigen Nameservern, IP-Adressen und Registrierungsstellen in Verbindung bringen.

Diese Erkenntnisse helfen Ermittlern dabei, betrügerische Machenschaften aufzudecken und zu bekämpfen.

Wie kann man den DNS-Verlauf für die Asset-Ermittlung nutzen?

Der DNS-Verlauf bietet einen umfassenden Überblick über die Domain-Aktivitäten, wodurch Folgendes möglich ist:

• Identifizieren Sie Domains oder Subdomains, die mit Ihrem Unternehmen in Verbindung stehen und Risiken bergen könnten, wenn sie nach Ablauf oder Übertragung nicht überwacht oder von anderen missbräuchlich genutzt werden.
• Heben Sie vergessene oder nicht überwachte digitale Ressourcen wie alte Subdomains oder Backup-Domains hervor, die möglicherweise noch öffentlich zugänglich sind und als Einstiegspunkte für Angreifer dienen können, wenn sie nicht ordnungsgemäß gesichert sind.
• Entdecken Sie DNS-Probleme wie falsch konfigurierte DNS-Einträge, die sensible Daten wie interne Dienste, vertrauliche IP-Adressen oder Cloud-Ressourcen offenlegen könnten.

Durch die Nutzung des DNS-Verlaufs können Unternehmen die Transparenz und Sicherheit ihrer digitalen Ressourcen verbessern.

Wie kann man den DNS-Verlauf für den Markenschutz nutzen?

Der DNS-Verlauf unterstützt den Markenschutz, indem er es Ihnen ermöglicht, Folgendes zu erkennen:

• Cybersquatting-Domains, die sich als Ihre Marke ausgeben und verdächtige IP-Änderungen oder wiederholte Verwendung von Nameservern aufweisen, die mit Phishing-Kampagnen in Verbindung stehen. Solche Änderungen können auf böswillige Absichten der Domaininhaber hindeuten.
• Potenziell bösartiger Datenverkehr, der auf Versuche zur Verunstaltung von Websites hindeuten könnte. Website Application Firewalls (WAFs) können solchen Traffic von bekannten bösartigen IP-Adressen blockieren, die Zugriff auf Ihre Website anfordern.
• Verdächtige Subdomains, die mit Ihrer eigenen Infrastruktur verlinkt sind, was auf eine Übernahme der Subdomains hindeuten könnte.

Wir empfehlen, den DNS-Verlauf zusammen mit prädiktiven Threat Intelligence-Feeds zu verwenden, um bessere Ergebnisse und eine bessere Korrelation beim Markenschutz zu erzielen. Lesen Sie unseren Blog-Beitrag, um mehr über die Verwendung des DNS-Verlaufs zur Prävention von Markenangriffen zu erfahren.