Seit über einem Jahr werden alte CNAME Einträge bekannter Firmen zunehmend umfangreich durch Cyberkriminelle genutzt, um ihre Malware zu verbreiten und Betrugsseiten ins Netz zu stellen. Der Trick ist bekannt unter dem Namen „Hazy Hawk“.
Die Kampagnen beginnen mit dem Aufspüren und der Registrierung von verwaisten Ressourcen bei großen Cloudhosting Anbietern wie Microsoft, Cloudflare oder Amazon (S3-Buckets oder Azure-Endpunkte). Sofern der dazugehörige CNAME Eintrag auf der Subdomain des ursprünglichen Nutzers noch aktiv ist, werden auf dem Space einfach neue (schädliche) Inhalte bereitgestellt. Diese profitieren immens von der Glaubwürdigkeit der Hauptdomain und schaffen Vertrauen.
So wurden z.B. Subdomains der US-Gesundheitsbehörde „Centers for Disease Control and Prevention“ (CDC) gekapert. Darüber hinaus wurden zahlreiche internationale Konzerne, staatliche Stellen und Universitäten weltweit Opfer von Hazy Hawk.
Wie funktioniert die Attacke?
Firma xyz gibt den Host space kampagne54.amazonaws.com auf, lässt aber den dazugehörigen CNAME kampagne54.firmaxyz.com bestehen.
Hazy Hawk sichert sich den freigewordenen space kampagne54 bei Amazon und stellt neue „Inhalte“ bereit.
Diese sind weiterhin über kampagne54.firmaxyz.com erreichbar.
Was kann getan werden?
Wichtig ist DNS Hygiene: Das regelmäßige Löschen alter nicht gebrauchter Host Einträge und keine „dangling CNAMEs“ stehen zu lassen.
Der Anbieter Teletrust hat ausführlich zu diesem Phänomen berichtet.