Domain-Registrierung was ist/bringt das???

  • Themenstarter Gelöschtes Mitglied 29330
  • Beginndatum
G

Gelöschtes Mitglied 29330

Guest
#1
Bei der Ransomeware Wannacryp wurde die Ausbreitung durch die Registrierung der Domain eingeschränkt bzw. durch die Registrierung bekam man mehr Informationen welche die Ransomeware am Ende in die Knie zwangen. Was bringt einem so eine Registrierung ist man dann erst im DNS eingetragen (aber das kann ja eigentlich nicht erst danach passieren weil eine Domain ohne Eintrag ja nichts bringt oder?!) Also was ist das genau, ist es Pflicht und wieso bekomme ich dadurch mehr Information über die Server hinter der Domain. Kann jeder jede unangemeldete Domain einfach so registrieren und das auch noch kostenlos?
 
#2
Bei der Ransomeware Wannacryp wurde die Ausbreitung durch die Registrierung der Domain eingeschränkt bzw. durch die Registrierung bekam man mehr Informationen welche die Ransomeware am Ende in die Knie zwangen.
Kurz gesagt war das Überprüfen der Domain eine Art Selbstschutz, wenn auch eine sehr schlechte. Ich habe nicht mehr genau im Kopf wie es funktionierte (Fefe hat es in Alternativlos #39 erklärt), aber wenn eine Antwort von dieser Domain kommt, geht die Schadware davon aus, dass sie analysiert wird und hat dadurch ihre Arbeit beendet.
Vielleicht weiß hier jemand etwas genaueres. Ich müsste mir noch mal den Podcast anhören.

Und derjenige, der die Domain registriert hat, konnte anhand der IPs herausfinden, woher die ganzen Anfragen kamen und konnte dadurch analysieren, wo die meisten Infektionen nach der Registrierung der Domain herkamen.
 
G

Gelöschtes Mitglied 29330

Guest
#3
Das heißt wenn ich eine Domain registriere bekomme ich zugriff auf alle auf diese zugreifende IPs???
Weil diese z.B. beim DNS geloggt werden oder was brachte die Domain Regestrierung in dem Beispiel???
 
#4
Das heißt wenn ich eine Domain registriere bekomme ich zugriff auf alle auf diese zugreifende IPs???
Weil diese z.B. beim DNS geloggt werden oder was brachte die Domain Regestrierung in dem Beispiel???
Am Beispiel von Wannacrypt bedeutete es, dass die Domain-Registrierung dazu führte, dass die Schadsoftware erkannte, dass sie analysiert wurde.

Allgemein gilt aber, dass man mit der Registrierung der Domain und Zugriff auf die eingetragenen DNS-Server anhand der Logs herausbekommen kann, wer diese Domain anfragt. Für eine Schadsoftware bedeutet dies, dass auch ermittelt werden kann, auf welchen Rechnern die Software aktiv ist. Daher ist es eigentlich mittlerweile eine übliche Praxis, dass Botnetze eine Domain durch Debugger etc. lesbar machen. Sobald die Domain registriert wird, d.h. ein Response bei einem Nameserver-Lookup gegeben wird, deaktiviert sich die Schadsoftware und löscht sich ggf. selbst, damit etwaige Analysten sie nicht weiter untersuchen können. Natürlich werden gute Forensiker sich einfach ein Netzwerk aufbauen, in dem kein Response erfolgt, so dass die weitere Analyse möglich ist.
 
G

Gelöschtes Mitglied 29330

Guest
#5
Ahh okay und danke schonmal.
Und wozu braucht man sowas eigentlicht??? Sicher war es nie dafür gedacht Schadsoftware zu analysieren.
Wenn ich mir eine Domain zulege muss ich diese Registrieren? Und kann das jeder mit jeder noch nicht registrierten Domain machen? Gibt es dazu z.B. ein Amt?
 
G

Gelöschtes Mitglied 29330

Guest
#7
Danke aber soweit war ich auch schon ;)
Daher kamen genau meine Fragen. Wie kann es sein das man nach der Regestrierung in den DNS erst Eingetragen wird??? Ich meine was bringt einem eine Domain die nicht im DNS steht und somit auch auf keine dynamische IP verweisen kann, ich meine das ist der Zweck von Domains und auch ein Virus bringt eine Domain ohne IP dahinter gar nichts. Also wieso braucht der Virus eine nicht Registrierte Domain die laut Wiki wie ich es verstanden hab (ohne besagte Registrierung ins leere führt).
Und zu Regestrierung in einem Artikel hatte ich gelesen das durch die Registrierung um 5 Uhr nach OstAmerikanischer Zeit großer Schaden verhindert wurde da der Virus damit "deaktiviert" wurde. Dann muss so eine Registrierung aber schnell gehen wenn man gerade mal dabei war den Virus zu analysieren da er vlt. 10h vorher ist richtig wahrgenommen wurde. In dem Wiki Artikel hört es sich nach einem langen Verfahren und sehr sehr viele Bürokratie an. Also was ist es nun ein einfacher Eintrag online auf einer Website oder doch die eher eine Art Amt?

Zusammengefasst:
Regestrierung = Eintrag in DNS?
Verfahren langfristig und schwer oder eher online und schnell?
 
#8
ich meine das ist der Zweck von Domains und auch ein Virus bringt eine Domain ohne IP dahinter gar nichts. Also wieso braucht der Virus eine nicht Registrierte Domain die laut Wiki wie ich es verstanden hab (ohne besagte Registrierung ins leere führt).
So ganz verstehe ich deine komplette Frage nicht.
Wenn du wissen willst, warum Wannacry die Arbeit beendete nachdem die Domain registriert wurde empfehle ich dir mal Alternativlos 39 von Fefe zu suchen.

Wie gesagt, ich habs nicht mehr ganz im Kopf, aber es gibt Umgebungen, die Programme analysieren. Und damit Programme unauffällig und sicher analysiert werden können, simuliert diese Umgebungen auch Netzwerkverbindungen ohne wirklich eine Verbindung aufzubauen.
Der Programmierer von Wannacry ging davon aus, dass diese Domain, die er im Schadprogramm hinterlegt hat, nie registriert wird und nie existiert. Wenn nun aber eben die Maleware dennoch eine Verbindung zu einem Server mit dieser Domain aufbauen kann geht das Programm davon aus, dass es in einer Umgebung untersucht wird, die Netzwerkverbindungen simuliert und auf alle Anfragen antwortet. Daher beendete Wannacry seine Arbeit.
 
G

Gelöschtes Mitglied 29330

Guest
#9
Ahh also die hinterlegte Domain in dem Virus war nur eine Falle?!
Sobald diese Registriert wird wusste das Programm das es analysiert wird und hat sich somit selbst "abgeschalten"-Und das war der sogenannte Kill-Switch dann?!
Ich dachte die Domain würde wirklich existieren und von dem Virus auch genutzt werden aber dem scheint ja nicht so wenn ich das richtig verstanden haben, oder?
 
#10
Ahh also die hinterlegte Domain in dem Virus war nur eine Falle?!
Sobald diese Registriert wird wusste das Programm das es analysiert wird und hat sich somit selbst "abgeschalten"-Und das war der sogenannte Kill-Switch dann?!
Ich dachte die Domain würde wirklich existieren und von dem Virus auch genutzt werden aber dem scheint ja nicht so wenn ich das richtig verstanden haben, oder?
alter er hat doch geschrieben das die malware davon ausgeht das die adresse nicht existiert
dass die adresse regriestiert wird, damit hat der m4lw4r3haxx0r nicht gerechnet sondern dass in der simulierten umgebung halt auch verbindungen aufgebaut werden, die eigentlich gar nicht aufgebaut werden können da die domain nicht existiert!
und wenn das passiert deaktiviert sich das progrämmchen

ist nicht bös gemeint aber erst lesen, dann denken und dann schreiben 8)
 
Zuletzt bearbeitet:

Chromatin

Moderator
Mitarbeiter
#11
dass die adresse regriestiert wird, damit hat der m4lw4r3haxx0r nicht gerechnet
Das ist 1. Spekulation, da ihn niemand gefragt hat und 2. eine unwahrscheinliche noch dazu.

Was bit beschreibt ist eher eine Art Sollbruchstelle: Wenn der Code analysiert wurde, liegt die besagte Domain offen und es liegt nahe dass sie auch jemand registriert (analog: DIESEN Schalter NICHT drücken!!!11).
Das ist für den Urheber ein Indiz dass die Malware eben zu guten Stücken enttarnt ist.

Aber auch dass ist letztendlich nur eine Spekulation..

Viel interessanter wäre es allerdings herauszufinden auf welchem Nameserver dieser Welt Lookups für diese Domains eingegangen sind, bevor sie enttarnt wurde :p
 
Oben