Seit spätestens Juni 2023 nimmt ein DNS-Probing offene Resolver ins Visier. Infoblox Threat Intel analysierte Queries an Infoblox und andere rekursive DNS-Resolver. Dabei stach diese Aktion durch ihre Größe und die invasive Struktur heraus.
Dr. Renée Burton, Head of Threat Intel bei Infoblox klärt über die Gefahren und die Wichtigkeit von DNS-Security auf.
(Bild: Infoblox)
Wenn es um Cybersicherheit geht, wird das Domain Name System (DNS) oft übersehen. Der Bedrohungsakteur Secshow zeigt nun, dass Unternehmen diesen Aspekt bei ihrer Sicherheit aber keineswegs vernachlässigen sollten – sonst haben Kriminelle leichtes Spiel. Denn das DNS ist für die gesamte Kommunikation im Internet von zentraler Bedeutung.
Umso größer ist die Gefahr, die von offenen Resolvern ausgeht. Ein offener Resolver ist ein Device, das – in der Regel durch eine Fehlkonfiguration – jede DNS-Abfrage, die es im Internet erhält, entweder auflöst oder weiterleitet. So stellen sie eine Schwachstelle in Netzwerken dar und werden häufig für DNS-DDoS-Angriffe (Distributed Denial of Service) verwendet, da sie Angreifern dafür die ideale Angriffsfläche bieten.
Secshow: Auf der Jagd nach offenen Resolvern
Der chinesische Bedrohungsakteur Secshow handelt aus dem China Education and Research Network (CERNET) heraus und führt seit spätestens Juni 2023 weltweite DNS-Sondierungen durch, um genau diese offenen Resolver zu finden. Das Vorgehen von Secshow lässt sich folgendermaßen beschreiben:
Im ersten Schritt sendet Secshow DNS-Abfragen an IP-Adressen, inklusive IPv4 und IPv6, auf der ganzen Welt. Der genaue Ursprung dieser Abfragen ist zwar noch unbekannt, allerdings beinhalten sie Informationen über die angefragte IP-Adresse und ein Datum oder einen Zeitstempel.
Sobald ein Gerät solch eine Abfrage erhält, gibt es unterschiedliche Optionen:
Wenn das Gerät ein offener Resolver ist, wird es die Abfrage auflösen und eine Antwort zurückschicken
Ist das Gerät kein offener Resolver oder ein anderer Akteur (z.B. eine Firewall) schaltet sich dazwischen, wird eine ICMP-Nachricht erstellt und an die ursprüngliche IP-Adresse zurückgesendet
Ist das Gerät kein offener Resolver, kann die Antwort an einen anderen Resolver weitergeleitet werden
Nach unseren Erfahrungen kann ein DNS-Scan oder eine DNS-Sondierung zahlreiche Konsequenzen haben, die allerdings den Rahmen dieser Auflistung sprengen würden. Das gilt besonders in Netzwerken mit Geräten, die mit dem Internet verbunden sind und nicht dazu gedacht sind, DNS-Abfragen zu beantworten – wie es bspw. bei Routern in Privathaushalten oder IoT-Geräten der Fall ist.
Obwohl das endgültige Ziel von Secshow noch unbekannt ist, können die gesammelten Informationen für bösartige Aktivitäten genutzt werden, von denen einzig der Angreifer profitiert.
Unbeabsichtigte Hilfestellung
Als wäre die Gefahr durch offene Resolver und Bedrohungsakteure nicht schon groß genug, wurden die Aktivitäten von Secshow auch noch von unerwarteter Seite verstärkt: Das Sicherheitsprodukt Cortex Xpanse von Palo Alto vervielfachte die DNS-Abfragen von Secshow und verstärkte somit die Gefahr und verwirrte Verteidiger.
Dieser Zusammenhang fiel zum ersten Mal auf, als wir einen anderen Bedrohungsakteur namens Decoy Dog untersuchten. Die Vervielfältigung der Abfragen von Secshow ist auf eine Kombination aus zufällig zurückgeschickten IP-Adressen durch Name-Server und das Verhalten von Cortex Xpanse zurückzuführen. Aufgrund eines ursprünglichen Hinweises von Veloxity im letzten Jahr konnten wir feststellen, wie die Vervielfältigung funktioniert:
Secshow sendet eine DNS-Abfrage an einen offenen Resolver und der Secshow Name Server sendet eine Antwort mit einer zufälligen IP-Adresse zurück
Diese DNS-Responses sind dann an verschiedenen Stellen im Internet sichtbar und werden durch Cortex Xpanse gesammelt
Cortex Xpanse behandelt die Domains in den DNS-Abfragen als URL und versucht, die Inhalte von der zufälligen IP-Adresse von dieser Domain abzurufen
Firewalls und andere Sicherheitsmaßnahmen filtern die URL, wenn sie die Anfrage von Cortex Xpanse erhalten, woraufhin eine neue DNS-Abfrage für diese Domain ausgelöst wird
Der Secshow Name Server sendet nun eine weitere zufällige IP-Adresse zurück und das Spiel beginnt von vorne
Auf diese Weise kann das Verhalten von Cortex Xpanse aus einer Secshow-Abfrage einen endlosen Kreislauf von Abfragen in Netzwerken auf der ganzen Welt auslösen
Hinzu kommt, dass Cortex Xpanse versucht, den URL-Scan über einen Zeitraum mehrmals auszuführen und so die ursprüngliche DNS-Anfrage vervielfältigt
Vier Schritte für den Fall verdächtiger DNS-Abfragen
Die Aktivitäten von Secshow zeigen einmal mehr, dass das DNS ein neuralgischer Punkt für die eigene Cybersecurity ist. Viele Angreifer nutzen das DNS für ihre Zwecke auf die eine oder andere Weise. Offene Resolver im eigenen Netzwerk zu identifizieren und diese zu schließen, kann dabei helfen, die Angriffsfläche zu reduzieren.
Verdächtige Aktivitäten, die auf Secshow zurückzuführen sind, können zwei Ursachen haben. Entweder befinden sich offene DNS-Resolver im eigenen Netzwerk oder Cortex Xpanse hat das eigene Netzwerk aufgrund der von Secshow zufällig gesendeten IP-Adressen gescannt.
Um zu überprüfen, ob die verdächtigen Abfragen das Resultat eines offene Resolvers sind, sollten Unternehmen folgende Schritte einleiten:
1. Identifizieren Sie die IP-Adresse in der Abfrage. Diese ist entweder als 8-stellige hexadezimale Zeichenfolge oder als durch Bindestriche getrennte Darstellung eingebettet
2. Decodieren oder extrahieren Sie die IP-Adresse und gleichen Sie diese mit dem eigenen IP-Raum ab
3. Liegt die IP-Adresse innerhalb des eigenen IP-Raums und ist nach außen gerichtet, handelt es sich bei dieser IP-Adresse um einen offenen Resolver, der geschlossen werden sollte
4. Falls die IP-Adresse innerhalb des eigenen IP-Raums liegt, aber nach innen gerichtet ist oder keinen Bezug zum eigenen Netzwerk hat, sind die Abfragen wahrscheinlich auf Scans durch Cortex Xpanse zurückzuführen
DNS-Security: Mehr als ein Nice-to-Have
Die Bedrohung durch offene Resolver zeigt, wie wichtig das DNS für die eigene Sicherheit ist. Auch wenn die Aktivitäten von Secshow in letzter Zeit abgenommen haben, zeigen diese, welche Macht ein Bedrohungsakteur mit Zugang zum Internet-Backbone besitzt. Secshow führte DNS-Spoofing im großen Stil durch, um IP-Räume weltweit und über mehrere Monate hinweg zu sondieren. Ziel der Sondierungen war es, Informationen über die Konfiguration offener Resolver und von Netzwerken zu sammeln, die daraufhin für bösartige Aktivitäten genutzt werden können. Das schloss auch mehrere Abfragetypen ein, die offenbar detaillierte Informationen über das Antwort-Caching der Resolver sammeln sollten.
Secshow ist nur einer von mehreren chinesischen Bedorhungsakteuren, die in diesem und dem letzten Jahr großangelegte DNS-Sondierungen durchführten. Trotzdem wird DNS-Security immer noch zu häufig als ein Add-On betrachtet, um welches man sich kümmern kann, wenn alle anderen Sicherheitsmaßnahmen implementiert sind. Wer diesem Trugschluss unterliegt, läuft Gefahr, sensible Informationen an Cyberkriminelle zu verlieren und ihnen damit Tür und Tor für weitere Angriffe zu öffnen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Über die Autorin
Dr. Renée Burton ist Head of Threat Intel bei Infoblox.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/38/e2/38e2ebee9ca6d8252e67f88dab72cdd3/0129125696v2.jpeg "Der Cybersecurity Report 2026 zeigt: E-Mail-Malware stieg um 131 Prozent, KI-gestütztes Phishing wird zur Hauptbedrohung und Resilienz entscheidet über Handlungsfähigkeit bei Angriffen. (Bild: © putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/27/3027664b0fb0bc9c398378e320ef390b/0128993714v2.jpeg "Cyberkriminelle sind aktiver denn je. Diese deutschen Unternehmen sind ihnen 2026 bereits zum Opfer gefallen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/1d/fd/1dfd842dd6642385566db0f35d82a048/0127035831v1.jpeg "Netzwerksperren wie IP- oder DNS-Blocking sollen illegale Inhalte bekämpfen, verursachen aber oft Kollateralschäden. Welche Risiken bestehen – und welche Alternativen praktikabler sind. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c1/17/c117a56c5982733e6b7c941bfd9b0f9f/0126586830v2.jpeg "Pharming ist eine Form des Cyberbetrugs durch DNS-Manipulation, bei der Benutzerdaten durch Umleitung auf gefälschte Webseiten gestohlen werden. (Bild: gemeinfrei)")