Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 5/3/2015
Bagmændene bag exploit kittet Angler hacker sig ind på systemer til domæneregistrering og registrerer subdomæner, som de bruger til at sprede skadelig software fra.Hvis en virksomhed for eksempel har registreret domænet firma.dk, kan bagmændene registrere subdomæner som xyz.firma.dk. Det kræver, at de har fået fat i brugernavn og password til det firma, der administrerer domæner for virksomheden.
Angler er et af de mest aktive exploit kits for øjeblikket. Det er software, der kører på en webserver. Når en browser besøger webserveren, afprøver Angler en række kendte angreb, der udnytter forskellige sårbarheder. Har den besøgende pc eller browser blot en af sårbarhederne, risikerer den at blive inficeret.
Sikkerhedsorganisationen Talos under Cisco har observeret næsten 10.000 subdomæner, som Angler bruger. Formålet er at gøre det vanskeligt at sortliste domæner: De skadelige websteder flyttes løbende rundt mellem domænerne, der ofte kun er aktive i nogle minutter ad gangen.
Talos kalder teknikken for skyggedomæner. De betegner den som et alternativ til såkaldt fast flux, hvor et domæne hurtigt flyttes rundt mellem flere IP-adresser.
Når skyggedomæner kan lade sig gøre, skyldes det ifølge Talos, at mange virksomheder ikke har styr på deres domæner. De tjekker ikke løbende, hvilke subdomæner der er registreret. Og som regel er det gratis at få subdomæner, så der kommer ingen regning fra udbyderen.
Foreløbig har kun omkring en tredjedel af de subdomæner, Angler-folkene har registreret, været brugt i praksis.
Talos har kun set subdomæner registreret under domæner, der administreres af den amerikanske udbyder GoDaddy.
Anbefaling
Tjek løbende, at I ikke har registreret andre subdomæner end dem, I selv har valgt.