Forscher von Alibaba Cloud haben kürzlich Spuren eines Exploit-Kits des Tofsee-Trojaners auf hunderten von Cloud-Rechnern entdeckt. Anstatt die Bedrohung mithilfe eines Endpunkt-Agenten aufzuspüren, verwendeten die Experten eine Reihe von Algorithmen, die den DNS-Verkehr analysierten und nach Mustern und Korrelationen mit früheren bösartigen Aktivitäten suchten.
Yuriy Yuzifovich, Head of Security Innovation Labs bei Alibaba Cloud, und Yohai Einav, Principal Security Researcher bei Alibaba Cloud, beleuchten die Rolle von DNS im heutigen mehrschichtigen „Defense in Depth"-Sicherheitskonzept und warum traditionelle Silo-Sicherheitsschichten angesichts der heutigen Bedrohungslage keinen ausreichenden Schutz mehr bieten.
Viele Unternehmen befinden sich inmitten eines digitalen Transformationsprozesses. Damit verbunden sind auch oft Sicherheitsbedenken. Dies liegt nicht alleine an der zunehmenden weltweiten Cyberkriminalität, sondern auch an den damit verbundenen Kosten. Diese steigen laut dem aktuellen Cyberwarfare-Bericht 2021 jedes Jahr um 15 Prozent.
Und die Zukunftsprognosen sind nicht gerade vielversprechend: derselbe Bericht warnt, dass Cyberkriminalität Unternehmen weltweit bis 2025 jährlich 10,5 Billionen US-Dollar kosten wird. Es sind allerdings nicht nur die Kosten, die den Unternehmen Sorgen bereiten, sondern auch der Schaden, der dem Ruf der Marke zugefügt wird, und der Vertrauensverlust, den die Kunden empfinden, wenn z.B. ihre persönlichen Daten durch eine Sicherheitsverletzung gefährdet werden.
Natürlich sind nicht nur Unternehmen, die beispielsweise auf die Cloud umsteigen, über Cyberkriminalität besorgt; alle Unternehmen – unabhängig von Größe, Sektor oder dem Stand ihrer Cloud-Migration – räumen der Sicherheit Priorität ein. Ein Bereich, der zunehmend Anlass zur Sorge gibt, sind Angriffe auf das Domain Name System (DNS) und die Frage, wie Unternehmen DNS-Daten nutzen können, um systemübergreifende Cyberangriffe zu erkennen.
Da das DNS quasi als Telefonbuch des Internets fungiert, ist es unerlässlich, dass es robust und sicher ist. DNS-Sicherheit hat jedoch zwei Richtungen. Erstens ist das DNS eine kritische Infrastruktur, auf die alle Unternehmen angewiesen sind und ohne die sie nicht funktionieren können. Dennoch bleibt das DNS eine anfällige Komponente im Netzwerk, die häufig als Ausgangspunkt für Cyberangriffe genutzt wird und durch herkömmliche Sicherheitslösungen nur unzureichend geschützt ist. Wenn kritische DNS-Dienste beeinträchtigt werden, kann dies zu katastrophalen Netzwerk- und Systemausfällen führen. Daher besteht die erste Bedeutung der DNS-Sicherheit darin, DNS-Server zu schützen.
Zweitens spielt DNS eine entscheidende Rolle in einem mehrschichtigen Sicherheitskonzept, das als "Defense in Depth" bekannt ist. In der heutigen Bedrohungslage, in der sowohl Organisationen aber auch Einzelpersonen ins Visier genommen werden, bieten traditionelle Sicherheitsmechanismen keinen ausreichenden Schutz. Angreifer wissen, wie jeder einzelne Mechanismus funktioniert und wie man diesen umgehen kann. Der Schlüssel zur Abwehr von Angriffen liegt in der Sammlung unabhängiger Informationen aus mehreren unterschiedlichen Quellen und der anschließenden Weitergabe dieser Informationen an die verschiedenen Ebenen.
Ein aktueller Gartner-Bericht empfiehlt Unternehmen, DNS-Protokolle für die Erkennung von Bedrohungen und für forensische Zwecke mithilfe von SIEM (Security Information and Event Management) zu sammeln und zu analysieren, DNS-Bedrohungsabwehr- und Blockierfunktionen zu implementieren und den DNS-Datenverkehr auf andere Anomalien zu überwachen.
Während sich einige Teams und Organisationen in erster Linie der DNS-Netzwerkinfrastruktur und -sicherheit widmen, konzentrieren sich andere auf die zweite Ausrichtung. Ihr Ziel ist es, sich die DNS-Daten (sowie anderer netzbezogener Daten), die in jedem Netz verfügbar sind, sich zunutze zu machen, um eine neue Sicherheitsebene zu schaffen, die die verschiedenen bestehenden Ebenen und Schutzmechanismen ergänzt.
Tofsee – erfolgreiche Erkennung durch DNS-basierten Ansatz
Eine hinterhältige Malware namens Tofsee, die erstmals 2020 in Europa und den USA auftauchte, scheint sich in den letzten Monaten zunehmend auszubreiten. Sicherheitsforscher entdeckten kürzlich Spuren eines Exploit-Kits (EK) dieses Trojaners in Hunderten von Cloud-Rechnern, was darauf schließen lässt, dass er sich bereits auf Zehntausende von Rechnern ausgebreitet haben könnte.
Sicherheitsforscher konnten die Spuren des Tofsee-Trojaners nachverfolgen.
(Bild: Alibaba Cloud)
Der Tofsee-Trojaner ermöglicht Angreifern verschiedene bösartige Aktionen wie Spamming, Klickbetrug oder das Schürfen von Kryptowährungen. Es handelt sich um ein äußerst leistungsfähiges Schadprogramm mit ernsthaften Auswirkungen – finanzieller Verluste eingeschlossen. Ein kompromittiertes System wird Teil des Tofsee-Spam-Botnets, das zum Versenden großer Mengen an Spam-E-Mails verwendet wird, um weitere Systeme zu kompromittieren und unter die kriminelle Kontrolle des Botnet-Betreibers zu bringen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die übliche Methode zur Erkennung von Tofsee-Aktivitäten auf einem Server ist die Verwendung eines Endpunkt-Agenten. Eine Endpunkt-Erkennungs- und Reaktionslösung (EDR), die auf einem Computer installiert wird und dessen Aktivitäten überwacht, kann bekannte Signaturen von Tofsee (bekannte Dateien oder Muster, die bereits mit Tofsee in Verbindung gebracht werden) identifizieren. Der Nachteil jedoch ist, dass Angreifer, wenn sie wissen, dass eine Signatur existiert, kleine Änderungen an ihrem Malware-Code vornehmen und die Signatur umgehen können. Bis eine neue Signatur erstellt wird, nimmt die Erkennungsleistung des EDR entsprechend ab.
Anstatt die Tofsee-Bedrohung mithilfe eines Endpunkt-Agenten zu verfolgen, haben Sicherheitsforscher von Alibaba Cloud eine Reihe von Algorithmen entwickelt, die den DNS-Verkehr analysieren und nach Mustern sowie Korrelationen mit früheren bösartigen Aktivitäten suchen. Genauer gesagt identifizierten sie mit ihrer Methode Übereinstimmungen zwischen Domänennamen beziehungsweise Sequenzen von Domänen, die regelmäßig zusammen auftreten.
Die Entdeckung der Spuren des Tofsee-Trojaners begann mit einem einzelnen Domänennamen ("work[.]a-poster[.]info"), der vor einigen Monaten von einem Sicherheitsunternehmen gemeldet wurde. Diese Domäne wurde damals als Bedrohung eingestuft. Durch Algorithmen des maschinellen Lernens konnten Forschungsteams dann diese Domäne mit weiteren Domänennamen korrelieren und verknüpfen, die alle mit einem Spam- und Malware-Download-Botnet in Verbindung standen. Dabei handelte es sich um das Tofsee-Botnet. Eine schnelle Folgeanalyse durch die Sicherheitsexperten von Alibaba Cloud entdeckte alle Cloud-Rechner, die von dem Botnet betroffen waren und konnte sie erfolgreich bereinigen.
Eine weitere Sicherheitsebene für ein umfassendes Konzept
Während im geschilderten Fall ein einzelner Domänenname der Schlüssel zur Erkennung der Präsenz von Tofsee auf mehreren Rechnern war, hätten beispielsweise zusätzliche Erkennungsmethoden andere Bedrohungen aufdecken können. Sicherheitskonzepte sollten daher immer auf mehreren Ebenen arbeiten.
Der beschriebene neue DNS- und netzwerkbasierte Ansatz ergänzt die bestehende agentenbasierte Sicherheit und ermöglicht Unternehmen bessere Sicherheitsabdeckung, ohne dass sie dabei neue Software installieren müssen. Dieser neue Ansatz für die DNS-Sicherheit kann dazu beitragen, Sicherheit zu erhöhen und gleichzeitig die Kosten zu senken – für wohl alle Unternehmen ein erstrebenswertes Ziel.
Über die Autoren:
Yohai Einav ist Principal Security Researcher bei Alibaba Cloud.
Yuriy Yuzifovich ist Head of Security Innovation Labs bei Alibaba Cloud.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d4/df/d4dfa5d473ecbb140447fb4755cab804/0129131184v2.jpeg "Bundesinnenminister Alexander Dobrindt (CSU) will härter gegen hybride Angriffe durch staatliche Geheimdienste vorgehen. (Bild: @ BMI / Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/3c/5c/3c5c6e99bcdad07637fea060dc2eab27/0127436898v1.jpeg "Der Autor: Alexander Waldmann ist Vice President bei Applause (Bild: Applause)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/46/86/4686355223b7afc15b0ec2dcc54a5e58/0128882706v1.jpeg "Die Risiken der digitalen Erpressbarkeit: Genügt ein Klick, um Europa ins digitale Dunkel zu führen? (Bild: frei lizenziert Pete Linforth)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:quality(80)/p7i.vogel.de/wcms/44/5c/445c0893aca0919eb44c637e59fc1f00/0127381701v1.jpeg "Vorausschauende Cloud-Sicherheit erkennt Risiken, bevor sie entstehen, durch intelligente Analysen, Automatisierung und kontinuierliche Transparenz in allen Ebenen der Infrastruktur. (Bild: © Bo Dean - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/72/39/7239c941c88fff91344f7f42e2fa2b24/0126236923v1.jpeg "Zero Days, Supply Chain Hacks und geopolitische DDoS-Kampagnen zeigen 2025 eine neue Dimension der Bedrohung. Unternehmen und Behörden geraten unter massiven Druck. Wer jetzt nicht aufrüstet riskiert den Anschluss im härtesten Security-Match des Jahres zu verlieren. (Bild: © metamorworks - stock.adobe.com)")