Künstliche Intelligenz (KI)
Blockieren und Entfernen einer Angreiferinfrastruktur
TrendAI und CleanDNS werden gemeinsam über das Blockieren bösartiger Domains hinausgehen und die Infrastruktur, auf die Cyberkriminelle angewiesen sind, aktiv zerschlagen und Angreifer-Domains aus dem Internet entfernen, bevor Angriffe Ziele erreichen
Save to Folio
Das Blockieren bösartiger Domains ist seit langem eine wichtige Abwehrmaßnahme. Doch Blockieren allein beseitigt nicht das zugrunde liegende Problem, da die Infrastruktur der Angreifer selbst weiterhin aktiv und verfügbar bleibt, um das nächste Opfer anzugreifen. Um dieses Problem lösen zu können, hat TrendAI eine Partnerschaft mit CleanDNS geschlossen. Damit können wir den Schutz über einzelne Kundenumgebungen hinaus erweitern und arbeiten nun daran, Angreifer-Domains vollständig aus dem Internet zu entfernen.
Jagd auf Angreifer-Infrastrukturen fast in Echtzeit
Seit mehreren Monaten arbeiten die Forschungsteams von TrendAI™ aktiv mit CleanDNS an einer gemeinsamen Mission: der Zerschlagung der Infrastruktur, auf die sich Cyberkriminelle stützen.
Im Mittelpunkt dieser Bemühungen steht die Investition von TrendAI™ in agentische KI-Workflows und hauseigene Machine-Learning-Modelle. Diese Systeme ermöglichen es, die mit Malware verbundene Infrastruktur von Angreifern in Reihe wichtiger Bedrohungsgruppen nahezu in Echtzeit aktiv zu identifizieren und zu überwachen. Wir warten nicht darauf, dass Angriffe zuschlagen. So kann die von den Angreifern aufgebaute Infrastruktur gefunden werden und eine sofort Reaktion darauf folgen.
Unser Fokus liegt auf den wichtigsten Bedrohungen – Left-of-Kill-Chain-Bedrohungen, die heute fast jeden größeren Cyberangriff ermöglichen:
- Infostealer, die Anmeldedaten und Sitzungstoken im industriellen Maßstab sammeln,
- Phishing-as-a-Service (PhaaS), verfügbar für jeden potenziellen Angreifer,
- Loader, die sekundäre Payloads an kompromittierte Systeme liefern
- Remote-Access-Trojaner (RATs), die Angreifern dauerhaften, direkten Zugriff auf die Umgebungen der Opfer ermöglichen.
Long-Tail und Left-of-the-Kill Chain
Diese beiden Ansätze erreichen eine große Wirkung:
- Long Tail der Cyberkriminalität. Eine relativ kleine Anzahl von Malware-as-a-Service-Familien dominiert die cyberkriminelle Landschaft und hat im Vergleich zu mittelgroßen Familien einen überproportionalen Anteil an der Nutzung. Nach den Top-Anbietern folgt ein steiler Abfall hin zu einem Long Tail kleinerer Akteure. Das bedeutet, dass eine gezielte Bekämpfung der wichtigsten Bedrohungsfamilien eine dramatisch verstärkte Schutzwirkung erzielt. Wird die Infrastruktur der bedrohlichsten Angreifer blockiert, schützen wir vor einem Großteil der realen Angriffe.
- Zudem vervielfacht das Blockieren am Anfang der Kill Chain (Left-of-the-Kill Chain) die Wirkung. Indem die Infrastruktur hinter Stealern, Phishing-Kits, Loadern und RATs ins Visier genommen wird, stoppen wir Angriffe in ihren frühesten Stadien – lange bevor ein Angreifer seine endgültige Payload einsetzen kann. Ein Ransomware-Angriff, bei dem der initiale Loader nie ausgeliefert wird, ist ein Ransomware-Angriff, der nie stattfindet. Diese Störung im Vorfeld ist eine der effizientesten Formen des Schutzes in der Cybersicherheit.
Basierend auf diesem Ansatz identifiziert, kennzeichnet und blockiert TrendAI™ täglich Hunderte von Teilen der Angreiferinfrastruktur. In vielen Fällen sind wir in der Lage, die Infrastruktur von Angreifern in dem Moment zu identifizieren und zu blockieren, in dem sie erstellt wird – noch bevor die Angreifer überhaupt die Chance hatten, sie in Live-Angriffen einzusetzen. Doch das Blockieren für unsere eigenen Kunden war bisher der Punkt, an dem unser direkter Einfluss endete.
CleanDNS: Maßnahmen im gesamten Internet
Die Partnerschaft mit CleanDNS verändert nun die Möglichkeiten.
Die Organisation ist ein Spezialist für DNS-Missbrauchsmanagement und die Eindämmung von Online-Schäden. Das Unternehmen betreibt eine Plattform zur Überwachung von DNS-Missbrauch und zum Case Management, die speziell für die Zusammenarbeit mit den Organisationen entwickelt wurde, die die Infrastruktur des Internets betreiben.
Für Registrar- und Registry-Kunden ist CleanDNS nicht nur ein Reporting-Vermittler, sondern die Stelle, die für die Verwaltung und Weiterverfolgung von Maßnahmen gegen Missbrauch verantwortlich ist. Durch vertragliche Integration arbeitet das Unternehmen innerhalb etablierter Registrar- und Registry-Workflows, um Missbräuche zu untersuchen, Beweise zu sammeln und Suspendierungs-, Sinkholing (Umleitung von Datenverkehr zu einem sicheren, kontrollierten Server)- oder Takedown-Maßnahmen im Einklang mit den Richtlinien und Befugnissen des Kunden einzuleiten.
CleanDNS arbeitet direkt mit Registry-Betreibern, Registrar-Missbrauchsteams und anderen Anbietern von Kerninfrastruktur zusammen, einschließlich der Bereitstellung der grundlegenden Technologie für den NetBeacon Institute-Meldedienst. Diese Positionierung ermöglicht es dem Spezialisten als operative Ausführungsebene zu fungieren oder sicherzustellen, dass Fälle an die richtige Stelle weitergeleitet werden. Jeder Fall wird mit strukturierten, richtlinienkonformen Beweisen übermittelt und durch vordefinierte Eskalationspfade bearbeitet, sodass Reibungsverluste und Verzögerungen reduziert werden und schnellere, konsistentere Ergebnisse bei der Missbrauchsbekämpfung erzielt werden.
Das Modell von CleanDNS ist darauf ausgelegt, über einmalige Maßnahmen hinauszugehen. Jede validierte Domain wird zum Einstiegspunkt in einen umfassenderen Untersuchungsprozess, bei dem verwandte Registrierungen, gemeinsam genutzte Infrastruktur und Muster auf Kampagnenebene identifiziert werden.
Dieser Ansatz hilft Registraren und Registries, gegen koordinierten Missbrauch auf Konto- oder Netzwerkebene vorzugehen, statt nur auf der Ebene einzelner Domains. Das Ergebnis ist eine schnellere und konsistentere Reaktion.
Die Partnerschaft
Die Forschungsteams von TrendAI™ stellen CleanDNS nun in Echtzeit hochgradig zuverlässige Command-and-Control- (C&C) und Delivery-Domains zur Verfügung, mit Bezug auf wichtige Bedrohungsgruppen. Dies geschieht unmittelbar, nachdem diese Domains für TrendAI™-Kunden identifiziert und blockiert wurden.
Jede Übermittlung enthält ein Paket mit detailliertem Beweismaterial, das aus der TrendAI™-Analyse abgeleitet wurde und den Beweisstandards von Registraren und Registries entspricht. CleanDNS bearbeitet dann jeden Fall über seine Plattform und kontaktiert den entsprechenden Registrar oder die Registry über bestehende vertragliche Kanäle. Wenn die Richtlinien-Schwellenwerte erreicht sind, können Domains gesperrt, in Sinkholes umgeleitet oder vollständig entfernt werden. Die Maßnahmen für die Kunden von CleanDNS erfolgen in nur 12 Minuten, alle Berichte werden innerhalb von durchschnittlich 30 Minuten verifiziert und übermittelt, und die durchschnittliche End-to-End-Lösungszeit im gesamten Internet liegt bei 2,5 Tagen.
Ein Beispiel aus der Praxis: Entfernung der C&C-Domain von Lumma Stealer
Für unser aktuelles Sharing-Programm haben wir uns auf Domains konzentriert, die sowohl eine hohe Wirkung haben als auch eine sehr hohe Wahrscheinlichkeit für bösartige Aktivitäten aufweisen. Die Domain jugbphm[.]click ist eine bestätigte C&C-Domain für eine führende Bedrohung im „Left-of-Kill-Chain“-Bereich, Lumma Stealer.
Dieser Prozess führt dazu, dass eine bösartige Domain von der ersten Beobachtung bis zur Entfernung aus dem Internet nur etwas mehr als einen Tag in Anspruch nimmt.
Wir haben ihn kürzlich noch weiter optimiert, indem wir die manuelle Überprüfung (Human-in-the-Loop) abgeschafft haben, da die Verifizierungsrate aller Domains, die wir im Rahmen des Programms weitergegeben haben, bei 100 % liegt. Dies wird letztendlich die Zeit von der Erkennung durch TrendAI™ bis zur Eskalation durch CleanDNS auf wenige Minuten verkürzen und im Laufe der Zeit den Wirkungsgrad der von uns bearbeiteten Domains erhöhen.
Fazit
Partnerschaften wie diese gehören zu den wirksamsten Instrumenten, die uns heute zur Bekämpfung der anhaltenden Bedrohung durch Cyberkriminalität zur Verfügung stehen. Durch die Kombination der hochwertigen Bedrohungsinformationen und Echtzeit-Erkennungsfähigkeiten von TrendAI™ mit der einzigartigen Fähigkeit von CleanDNS, Domain-Sperrungen im gesamten globalen DNS-Ökosystem durchzuführen, schaffen wir einen Multiplikatoreffekt, den keine einzelne Organisation allein erreichen könnte.