Danke Danke:  0
Ergebnis 1 bis 11 von 11

Thema: Domain-Registrierung was ist/bringt das???

  1. #1

    Registriert seit
    28.01.16
    Danke (erhalten)
    2
    Gefällt mir (erhalten)
    3

    Standard Domain-Registrierung was ist/bringt das???

    Anzeige
    Bei der Ransomeware Wannacryp wurde die Ausbreitung durch die Registrierung der Domain eingeschränkt bzw. durch die Registrierung bekam man mehr Informationen welche die Ransomeware am Ende in die Knie zwangen. Was bringt einem so eine Registrierung ist man dann erst im DNS eingetragen (aber das kann ja eigentlich nicht erst danach passieren weil eine Domain ohne Eintrag ja nichts bringt oder?!) Also was ist das genau, ist es Pflicht und wieso bekomme ich dadurch mehr Information über die Server hinter der Domain. Kann jeder jede unangemeldete Domain einfach so registrieren und das auch noch kostenlos?

  2. #2

    Registriert seit
    11.07.11
    Danke (erhalten)
    7
    Gefällt mir (erhalten)
    25

    Standard

    Zitat Zitat von Hard_Veur Beitrag anzeigen
    Bei der Ransomeware Wannacryp wurde die Ausbreitung durch die Registrierung der Domain eingeschränkt bzw. durch die Registrierung bekam man mehr Informationen welche die Ransomeware am Ende in die Knie zwangen.
    Kurz gesagt war das Überprüfen der Domain eine Art Selbstschutz, wenn auch eine sehr schlechte. Ich habe nicht mehr genau im Kopf wie es funktionierte (Fefe hat es in Alternativlos #39 erklärt), aber wenn eine Antwort von dieser Domain kommt, geht die Schadware davon aus, dass sie analysiert wird und hat dadurch ihre Arbeit beendet.
    Vielleicht weiß hier jemand etwas genaueres. Ich müsste mir noch mal den Podcast anhören.

    Und derjenige, der die Domain registriert hat, konnte anhand der IPs herausfinden, woher die ganzen Anfragen kamen und konnte dadurch analysieren, wo die meisten Infektionen nach der Registrierung der Domain herkamen.

  3. #3

    Registriert seit
    28.01.16
    Danke (erhalten)
    2
    Gefällt mir (erhalten)
    3

    Standard

    Das heißt wenn ich eine Domain registriere bekomme ich zugriff auf alle auf diese zugreifende IPs???
    Weil diese z.B. beim DNS geloggt werden oder was brachte die Domain Regestrierung in dem Beispiel???

  4. #4
    Moderator Avatar von bitmuncher
    Registriert seit
    30.09.06
    Danke (erhalten)
    143
    Gefällt mir (erhalten)
    1636

    Standard

    Zitat Zitat von Hard_Veur Beitrag anzeigen
    Das heißt wenn ich eine Domain registriere bekomme ich zugriff auf alle auf diese zugreifende IPs???
    Weil diese z.B. beim DNS geloggt werden oder was brachte die Domain Regestrierung in dem Beispiel???
    Am Beispiel von Wannacrypt bedeutete es, dass die Domain-Registrierung dazu führte, dass die Schadsoftware erkannte, dass sie analysiert wurde.

    Allgemein gilt aber, dass man mit der Registrierung der Domain und Zugriff auf die eingetragenen DNS-Server anhand der Logs herausbekommen kann, wer diese Domain anfragt. Für eine Schadsoftware bedeutet dies, dass auch ermittelt werden kann, auf welchen Rechnern die Software aktiv ist. Daher ist es eigentlich mittlerweile eine übliche Praxis, dass Botnetze eine Domain durch Debugger etc. lesbar machen. Sobald die Domain registriert wird, d.h. ein Response bei einem Nameserver-Lookup gegeben wird, deaktiviert sich die Schadsoftware und löscht sich ggf. selbst, damit etwaige Analysten sie nicht weiter untersuchen können. Natürlich werden gute Forensiker sich einfach ein Netzwerk aufbauen, in dem kein Response erfolgt, so dass die weitere Analyse möglich ist.

    Bitmuncher's TechBlog - My Homepage
    Denken ist manchmal so, als würde man wissen auskotzen.

    Neue Beiträge im Habo via Twitter - Das HaBo auf FB

  5. #5

    Registriert seit
    28.01.16
    Danke (erhalten)
    2
    Gefällt mir (erhalten)
    3

    Standard

    Ahh okay und danke schonmal.
    Und wozu braucht man sowas eigentlicht??? Sicher war es nie dafür gedacht Schadsoftware zu analysieren.
    Wenn ich mir eine Domain zulege muss ich diese Registrieren? Und kann das jeder mit jeder noch nicht registrierten Domain machen? Gibt es dazu z.B. ein Amt?

  6. #6

    Registriert seit
    11.07.11
    Danke (erhalten)
    7
    Gefällt mir (erhalten)
    25

  7. #7

    Registriert seit
    28.01.16
    Danke (erhalten)
    2
    Gefällt mir (erhalten)
    3

    Standard

    Danke aber soweit war ich auch schon
    Daher kamen genau meine Fragen. Wie kann es sein das man nach der Regestrierung in den DNS erst Eingetragen wird??? Ich meine was bringt einem eine Domain die nicht im DNS steht und somit auch auf keine dynamische IP verweisen kann, ich meine das ist der Zweck von Domains und auch ein Virus bringt eine Domain ohne IP dahinter gar nichts. Also wieso braucht der Virus eine nicht Registrierte Domain die laut Wiki wie ich es verstanden hab (ohne besagte Registrierung ins leere führt).
    Und zu Regestrierung in einem Artikel hatte ich gelesen das durch die Registrierung um 5 Uhr nach OstAmerikanischer Zeit großer Schaden verhindert wurde da der Virus damit "deaktiviert" wurde. Dann muss so eine Registrierung aber schnell gehen wenn man gerade mal dabei war den Virus zu analysieren da er vlt. 10h vorher ist richtig wahrgenommen wurde. In dem Wiki Artikel hört es sich nach einem langen Verfahren und sehr sehr viele Bürokratie an. Also was ist es nun ein einfacher Eintrag online auf einer Website oder doch die eher eine Art Amt?

    Zusammengefasst:
    Regestrierung = Eintrag in DNS?
    Verfahren langfristig und schwer oder eher online und schnell?

  8. #8

    Registriert seit
    11.07.11
    Danke (erhalten)
    7
    Gefällt mir (erhalten)
    25

    Standard

    Zitat Zitat von Hard_Veur Beitrag anzeigen
    ich meine das ist der Zweck von Domains und auch ein Virus bringt eine Domain ohne IP dahinter gar nichts. Also wieso braucht der Virus eine nicht Registrierte Domain die laut Wiki wie ich es verstanden hab (ohne besagte Registrierung ins leere führt).
    So ganz verstehe ich deine komplette Frage nicht.
    Wenn du wissen willst, warum Wannacry die Arbeit beendete nachdem die Domain registriert wurde empfehle ich dir mal Alternativlos 39 von Fefe zu suchen.

    Wie gesagt, ich habs nicht mehr ganz im Kopf, aber es gibt Umgebungen, die Programme analysieren. Und damit Programme unauffällig und sicher analysiert werden können, simuliert diese Umgebungen auch Netzwerkverbindungen ohne wirklich eine Verbindung aufzubauen.
    Der Programmierer von Wannacry ging davon aus, dass diese Domain, die er im Schadprogramm hinterlegt hat, nie registriert wird und nie existiert. Wenn nun aber eben die Maleware dennoch eine Verbindung zu einem Server mit dieser Domain aufbauen kann geht das Programm davon aus, dass es in einer Umgebung untersucht wird, die Netzwerkverbindungen simuliert und auf alle Anfragen antwortet. Daher beendete Wannacry seine Arbeit.

  9. #9

    Registriert seit
    28.01.16
    Danke (erhalten)
    2
    Gefällt mir (erhalten)
    3

    Standard

    Ahh also die hinterlegte Domain in dem Virus war nur eine Falle?!
    Sobald diese Registriert wird wusste das Programm das es analysiert wird und hat sich somit selbst "abgeschalten"-Und das war der sogenannte Kill-Switch dann?!
    Ich dachte die Domain würde wirklich existieren und von dem Virus auch genutzt werden aber dem scheint ja nicht so wenn ich das richtig verstanden haben, oder?

  10. Dislikes CypherL0rd disliked this post
  11. #10
    Avatar von CypherL0rd
    Registriert seit
    11.06.17
    Danke (erhalten)
    2
    Gefällt mir (erhalten)
    5

    Standard

    Zitat Zitat von Hard_Veur Beitrag anzeigen
    Ahh also die hinterlegte Domain in dem Virus war nur eine Falle?!
    Sobald diese Registriert wird wusste das Programm das es analysiert wird und hat sich somit selbst "abgeschalten"-Und das war der sogenannte Kill-Switch dann?!
    Ich dachte die Domain würde wirklich existieren und von dem Virus auch genutzt werden aber dem scheint ja nicht so wenn ich das richtig verstanden haben, oder?
    alter er hat doch geschrieben das die malware davon ausgeht das die adresse nicht existiert
    dass die adresse regriestiert wird, damit hat der m4lw4r3haxx0r nicht gerechnet sondern dass in der simulierten umgebung halt auch verbindungen aufgebaut werden, die eigentlich gar nicht aufgebaut werden können da die domain nicht existiert!
    und wenn das passiert deaktiviert sich das progrämmchen

    ist nicht bös gemeint aber erst lesen, dann denken und dann schreiben
    Geändert von CypherL0rd (11.06.17 um 23:24 Uhr)

  12. #11
    Moderator
    Registriert seit
    30.06.08
    Danke (erhalten)
    27
    Gefällt mir (erhalten)
    829

    Standard

    Anzeige
    dass die adresse regriestiert wird, damit hat der m4lw4r3haxx0r nicht gerechnet
    Das ist 1. Spekulation, da ihn niemand gefragt hat und 2. eine unwahrscheinliche noch dazu.

    Was bit beschreibt ist eher eine Art Sollbruchstelle: Wenn der Code analysiert wurde, liegt die besagte Domain offen und es liegt nahe dass sie auch jemand registriert (analog: DIESEN Schalter NICHT drücken!!!11).
    Das ist für den Urheber ein Indiz dass die Malware eben zu guten Stücken enttarnt ist.

    Aber auch dass ist letztendlich nur eine Spekulation..

    Viel interessanter wäre es allerdings herauszufinden auf welchem Nameserver dieser Welt Lookups für diese Domains eingegangen sind, bevor sie enttarnt wurde
    Wenn ein Gesetz nicht gerecht ist, dann geht die Gerechtigkeit vor dem Gesetz!

    Habo Blog - http://blog.hackerboard.de/

  13. Gefällt mir psittacus liked this post

Ähnliche Themen

  1. domain registrierung
    Von Milbex im Forum Internet Allgemein
    Antworten: 15
    Letzter Beitrag: 01.12.10, 15:32
  2. Domain verkauf - bringt's was?
    Von AcoQ im Forum Off topic-Zone
    Antworten: 1
    Letzter Beitrag: 29.11.09, 17:06
  3. A8N SLI Premium - CPU bringt nur 1 FPS
    Von Raven21 im Forum Hardware Probleme
    Antworten: 1
    Letzter Beitrag: 26.08.05, 15:14
  4. Was bringt die Zukunft???
    Von Ghost im Forum HaBo Lounge
    Antworten: 4
    Letzter Beitrag: 23.06.03, 17:09

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •