Tunnel
Tunnel
Bildquelle: Scott Eckersley, Lizenz

Akamai: ca. 79 Millionen bösartige Domains in sechs Monaten

Akamai schätzt, dass allein in der ersten Hälfte diesen Jahres fast 79 Millionen neu beobachtete Domains als bösartig eingestuft wurden.

Nach Angaben des IT-Dienstleisters Akamai stellen ihre Mitarbeiter etwa 13 Millionen bösartige Domains pro Monat fest, 2021 waren es fast 79 Millionen Stück. 13 Millionen neue Domains entspricht einem Anteil von 20 Prozent.

Mit bösartig ist die Verbreitung von Erpresser-Software, jegliche Schadsoftware und Domains für Phishing und unter anderem für Fake-Shops gemeint. Um derartige Gefahren zu vermeiden ist es wichtig, neu beobachtete Domains (Newly Observed Domains: kurz NODs) zeitnah zu überprüfen.

Akamai untersucht die Domains automatisch

Die neu registrierten Domains werden von Akamai anhand von mehr als 190 spezifischen Erkennungsregeln automatisch überprüft. Manuell wäre dies schon aufgrund des zeitlichen Aufwands nicht möglich. Unter anderem prüft man, ob es sich dabei um sogenannte Domain-Generierungsalgorithmen (DGAs) handelt, die die Domain kreiert haben.

Im ersten Halbjahr hat man nach eigenen Angaben nur 0,00042 Prozent der Aktivitäten auf den Webseiten falsch erkannt. Als „neu beobachtet“ gilt dabei jede Domain, die zum ersten Mal innerhalb von 60 Tagen abgefragt wird.

Akamai

Wenn Cyberkriminelle eine Reihe von zufällig aussehenden Domänennamen benötigen, von denen aus sie DDoS-Angriffe starten, Botnet-Befehls- und Kontrollserver betreiben oder bösartige Seiten hosten können, dann kommt laut Akamai häufig ein Domaingenerierungsalgorithmus (DGA) zum Einsatz. Man möchte nicht, dass diese Domains leicht erraten oder von Netzwerksicherheitsfiltern blockiert werden können. Doch die automatisch erstellten Domains von einem DGA kann man glücklicherweise recht gut als solche erkennen. Natürlich erstellen Hacker auch neue Domains manuell und nutzen keinen DGA dafür.

Viele neue Domains lassen Kriminelle von Algorithmen erstellen

Neben Akamai untersuchen natürlich noch andere Unternehmen den Zweck von frisch angemeldeten Domains. Cisco bietet ein System zur Erkennung von „neu gesehenen Domains“ an, das DNS-Protokolle überprüft und potenziell bösartige Websites kennzeichnet, ebenso wie die IT-Dienstleister Farsight Security und Palo Alto Networks.

Es ist unklar, wie sich diese Dienste mit denen von Akamai vergleichen lassen, aber ihre Ziele scheinen ähnlich zu sein und deuten darauf hin, dass NODs ein bekanntes Sicherheitsproblem sind, das mehrere Anbieter zu lösen versuchen.

Weitere Informationen sind auf dem englischsprachigen Blog von Akamai verfügbar.

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Früher brachte Ghandy, wie er sich in der Szene nennt, an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmerinnen und Teilnehmern bei, wie das Internet funktioniert. In seiner Freizeit geht er am liebsten mit seinem Hund spazieren.