Subdomain-Erkennung durch passive Quellen – Listen, Indizes und Open Data

von

Stefan
in , ,

Einleitung

Subdomains sind oft die vergessenen Türen einer Web-Infrastruktur. Neben der Hauptdomain (example.com) existieren häufig Dutzende oder Hunderte Subdomains wie mail.example.com, dev.example.com oder test.example.com.
Für die Passive Reconnaissance sind Subdomains eine Goldgrube, da sie Einblicke in interne Systeme, Testumgebungen oder ungeschützte Dienste geben können – ganz ohne aktives Scannen.

Warum Subdomains wichtig sind

  • Angriffsfläche: Jede Subdomain ist potenziell ein eigener Angriffsvektor.
  • Vergessene Systeme: Test- oder Staging-Umgebungen bleiben oft online.
  • Technologiehinweise: Subdomains verraten verwendete Frameworks, Tools oder Partnerdienste.
  • Historische Spuren: Alte Subdomains tauchen manchmal nur in Archiven oder Logs auf.

Passive Quellen für Subdomain-Erkennung

1. Zertifikat-Transparenz-Logs (CT-Logs)

  • Jede neue Subdomain, die ein Zertifikat erhält, taucht in öffentlichen CT-Logs auf.
  • Tools wie crt.sh oder [CertSpotter] helfen, Subdomains einfach aufzuspüren.

2. DNS-Datenbanken & Passive DNS

  • Historische DNS-Records zeigen Subdomains, die vielleicht gar nicht mehr aktiv sind.
  • Anbieter: SecurityTrails, PassiveTotal, ViewDNS.

3. Open Data & Suchmaschinen

  • Google Dorks: site:*.example.com kann Subdomains listen.
  • Suchmaschinen-Caches: manchmal tauchen dort Subdomains auf, die offiziell nicht mehr erreichbar sind.

4. Archive & historische Quellen

  • Wayback Machine: archivierte Seiten enthalten oft Links auf Subdomains.
  • Alte Dokumente/Präsentationen: können Subdomains in URLs oder Screenshots zeigen.

5. Leaks & Pastebins

  • Entwickler oder Admins posten unabsichtlich interne Links.
  • Auch bei Datenleaks sind Subdomains oft Teil von Login-URLs.

Typische Funde bei Subdomain-Recon

  • Mailserver: mail.example.com oder smtp.example.com.
  • Entwicklungsumgebungen: dev., test., staging. – oft schwächer abgesichert.
  • Admin-Bereiche: admin., portal., intranet.
  • Partnerdienste: Subdomains, die externen Anbietern gehören (z. B. SaaS-Lösungen).

Risiken für Unternehmen

  • Schatten-IT: Vergessene Subdomains sind besonders verwundbar.
  • Informationslecks: Namen geben Hinweise auf interne Systeme oder Projekte.
  • Fehlkonfigurationen: Subdomains laufen manchmal auf alten Servern oder ungesicherten Diensten.

Schutzmaßnahmen

  1. Subdomain-Inventar: Alle Subdomains regelmäßig erfassen und dokumentieren.
  2. Abschaltung alter Systeme: Nicht mehr benötigte Subdomains stilllegen.
  3. Monitoring: Passive DNS und CT-Logs kontinuierlich überwachen.
  4. Naming Guidelines: Einheitliche Konventionen, die keine unnötigen Infos preisgeben.

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert