Die verborgene Infrastruktur einer Domain sichtbar machen
Viele Unternehmen konzentrieren sich bei der Absicherung ihrer Systeme auf ihre Hauptdomain.
Beispielsweise:
example.de
Doch die eigentliche Angriffsfläche besteht häufig nicht aus der Hauptdomain selbst, sondern aus zahlreichen Subdomains, die im Laufe der Jahre entstanden sind.
Typische Beispiele sind:
mail.example.de vpn.example.de test.example.de dev.example.de webmail.example.de citrix.example.de cloud.example.de
Oft wurden diese Systeme von unterschiedlichen Abteilungen eingerichtet, von Dienstleistern betrieben oder nach Projekten einfach vergessen.
Genau hier kommt SpiderFoot ins Spiel.
In diesem Teil unserer Serie schauen wir uns an, wie SpiderFoot versteckte Subdomains und Infrastruktur-Komponenten findet und warum diese Informationen für Administratoren, Sicherheitsverantwortliche und Penetrationstester so wertvoll sind.
Warum sind Subdomains so interessant?
Aus Sicht eines Angreifers ist eine Domain nur die Spitze des Eisbergs.
Hinter einer einzigen Webseite können sich dutzende oder sogar hunderte Systeme verbergen.
Beispielsweise:
SubdomainFunktionmail.example.deMailservervpn.example.deVPN-Zugangremote.example.deFernwartungwiki.example.deDokumentationdev.example.deEntwicklungsumgebungtest.example.deTestsystembackup.example.deBackup-Portal
Während die Hauptseite meist professionell abgesichert wird, geraten Nebensysteme oft in Vergessenheit.
Gerade Test- und Entwicklungsumgebungen sind häufig ein beliebtes Einfallstor für Angreifer.
Was ist Shadow-IT?
Der Begriff Shadow-IT beschreibt Systeme und Dienste, die außerhalb der offiziellen IT-Verwaltung betrieben werden.
Beispiele:
- Ein Fachbereich richtet einen Cloud-Dienst ein.
- Ein Entwickler startet einen Testserver.
- Ein Dienstleister installiert ein VPN-Gateway.
- Eine Projektgruppe betreibt eine eigene Webanwendung.
Die zentrale IT weiß davon oftmals nichts.
Folglich werden diese Systeme:
- nicht überwacht
- nicht gepatcht
- nicht dokumentiert
- nicht inventarisiert
SpiderFoot hilft dabei, solche Systeme sichtbar zu machen.
Wie findet SpiderFoot Subdomains?
SpiderFoot nutzt mehrere Methoden gleichzeitig.
Dadurch entstehen deutlich bessere Ergebnisse als bei einer einzelnen DNS-Abfrage.
Zu den wichtigsten Verfahren gehören:
- Zertifikatsanalyse
- DNS-Bruteforce
- Passive DNS-Quellen
- Suchmaschinen
- Threat-Intelligence-Datenbanken
- Historische DNS-Daten
Methode 1: Zertifikatsanalyse
Eine der effektivsten Techniken ist die Auswertung von TLS-Zertifikaten.
Wenn ein Administrator ein Zertifikat beantragt, landet dieses häufig in öffentlichen Certificate-Transparency-Logs.
Diese Logs sind für jedermann einsehbar.
SpiderFoot durchsucht diese Datenbanken automatisch.
Beispiel:
Für die Domain:
example.de
findet SpiderFoot möglicherweise folgende Zertifikatseinträge:
mail.example.de vpn.example.de test.example.de citrix.example.de
Obwohl diese Systeme auf der Webseite nirgendwo erwähnt werden.
Warum funktioniert das so gut?
Viele Administratoren vergessen, dass Zertifikate öffentlich dokumentiert werden.
Selbst wenn:
- Robots.txt genutzt wird
- Suchmaschinen ausgeschlossen werden
- Firewalls vorgeschaltet sind
taucht die Subdomain häufig trotzdem in den Zertifikatslogs auf.
Für Angreifer sind diese Informationen äußerst wertvoll.
Certificate Transparency
SpiderFoot greift unter anderem auf:
- CertSpotter
- crt.sh
- Certificate Transparency Logs
zurück.
Diese Datenbanken gehören zu den ergiebigsten Quellen bei Infrastrukturanalysen.
Methode 2: DNS-Bruteforce
Eine weitere Technik ist DNS-Bruteforcing.
Dabei probiert SpiderFoot automatisch tausende bekannte Subdomain-Namen aus.
Beispiele:
www mail smtp vpn owa exchange test dev admin cloud api portal
Existiert ein DNS-Eintrag, wird dieser gefunden.
Beispiel
SpiderFoot testet:
vpn.example.de
DNS-Antwort:
A 203.0.113.42
Damit ist bekannt:
- Die Subdomain existiert.
- Dahinter befindet sich ein Server.
Nun können weitere Analysen folgen.
Grenzen von DNS-Bruteforce
Nicht jede Subdomain lässt sich so finden.
Voraussetzung ist:
- Der Name muss erraten werden können.
- Ein DNS-Eintrag muss existieren.
Moderne Unternehmen verwenden teilweise zufällige Hostnamen.
Deshalb kombiniert SpiderFoot DNS-Bruteforce immer mit weiteren Methoden.
Methode 3: Passive DNS
Passive DNS-Datenbanken speichern historische DNS-Auflösungen.
Dadurch lassen sich Informationen finden, die aktuell gar nicht mehr sichtbar sind.
Beispielsweise:
oldvpn.example.de
existiert heute nicht mehr.
Vor zwei Jahren war die Subdomain jedoch aktiv.
Passive DNS-Datenbanken kennen diesen Eintrag häufig noch.
SpiderFoot kann diese Informationen abrufen.
Warum sind historische Daten interessant?
Weil viele Unternehmen glauben:
„Die Subdomain wurde gelöscht, also kennt sie niemand mehr.“
Das stimmt leider nicht.
Suchmaschinen, Zertifikatslogs und DNS-Datenbanken vergessen oft nichts.
Infrastruktur automatisch erkennen
Hat SpiderFoot eine Subdomain gefunden, beginnt die eigentliche Analyse.
Das Tool untersucht unter anderem:
- DNS-Einträge
- IP-Adressen
- ASN-Zuordnungen
- Hosting-Anbieter
- Geolokationen
- Zertifikate
Dadurch entsteht ein immer detaillierteres Bild der Infrastruktur.
Beispiel einer Analyse
Ausgangspunkt:
example.de
SpiderFoot findet:
mail.example.de vpn.example.de test.example.de
Anschließend erkennt das Tool:
mail.example.de -> Microsoft 365 vpn.example.de -> Fortinet VPN test.example.de -> AWS EC2
Nun wird sichtbar:
- Cloud-Dienste
- externe Dienstleister
- VPN-Zugänge
- Testumgebungen
die zuvor möglicherweise unbekannt waren.
Praxisbeispiel: Die vergessene Testumgebung
Ein klassisches Beispiel aus der Praxis:
SpiderFoot entdeckt:
test.example.de
Über die Zertifikatsanalyse.
Die Subdomain ist nicht verlinkt und erscheint in keiner Suchmaschine.
Nach einer Untersuchung stellt sich heraus:
- veraltete Software
- Standardpasswörter
- keine Sicherheitsupdates
Die Testumgebung war seit Jahren online.
Niemand hatte sie mehr auf dem Schirm.
Genau solche Systeme gehören zu den häufigsten Ursachen erfolgreicher Cyberangriffe.
Was bedeutet das für NIS2 und Informationssicherheit?
Eine vollständige Inventarisierung aller Systeme gehört zu den zentralen Anforderungen moderner Informationssicherheit.
Man kann nur schützen, was man kennt.
SpiderFoot unterstützt dabei:
- unbekannte Systeme aufzudecken
- Cloud-Ressourcen sichtbar zu machen
- Schatten-IT zu identifizieren
- Angriffsflächen zu reduzieren
Gerade für Kommunen, Behörden und Unternehmen mit gewachsenen IT-Landschaften ist dies ein enormer Vorteil.
Best Practices
Nach einem SpiderFoot-Scan sollten gefundene Systeme:
- inventarisiert werden
- dokumentiert werden
- einem Verantwortlichen zugeordnet werden
- regelmäßig gepatcht werden
- überwacht werden
Die Analyse allein reicht nicht aus.
Die Erkenntnisse müssen anschließend in die Sicherheitsprozesse übernommen werden.
Subdomains sind häufig der Schlüssel zur tatsächlichen Infrastruktur eines Unternehmens. Während die Hauptdomain meist gut geschützt ist, verbergen sich hinter Subdomains oft Testsysteme, VPN-Gateways, Cloud-Dienste oder vergessene Anwendungen.
SpiderFoot kombiniert Zertifikatsanalyse, DNS-Bruteforce und passive Datenquellen, um genau diese Systeme sichtbar zu machen. Dadurch lassen sich Shadow-IT, unbekannte Dienste und potenzielle Sicherheitsrisiken frühzeitig erkennen.
Im nächsten Teil der Serie beschäftigen wir uns mit einem besonders spannenden Thema: Wie SpiderFoot E-Mail-Adressen, Datenlecks und kompromittierte Konten aufspürt.