Was ist Subdomain Enumeration?

Subdomain Enumeration ist ein Prozess, der bei externem Red Teaming speziell in der Reconnaissance-Phase, durchgeführt wird. Hierbei versucht der Angreifer möglichst viel über die Angriffsoberfläche eines Unternehmens zu erfahren. Hierzu zählen Domains sowie Subdomains - der Angreifer enumeriert mit Hilfe diverser Methoden die Subdomains eines Unternehmens. Dies kann durch Suchmaschinen, DNS-Abfragen, Zertifikate, Webseiten, etc. erfolgen. Das Finden aller relevanten Subdomains erscheint recht trivial, ist aber ein relativ komplexer Prozess und erfordert einiges an Erfahrung und Wissen. Die gefundenen

Was ist eine Subdomain?

"dsecured.com" ist die Domain. "www" wäre die Subdomain - also "www.dsecured.com". So etwas, wie "jira.backup-1.us-east-1.tesla.com" ist ebenfalls eine valide Subdomain - diese verrät außerdem einiges über den Aufbau einer Infrastruktur. Im konkreten Fall wird diese Subdomain vermutlich eine Jira-Instanz hosten. Vermutlich ist dies eine Art (erste) Backup-Instant in der Amazon AWS-Region "us-east-1". Die Domain "tesla.com" ist die Root-Domain.

Was ist passive Subdomain-Enumeration?

Passive Methoden der Subdomain Enumeration sind Methoden bei denen man selbst nicht die Infrastruktur des Ziels direkt anspricht. Öffentlich zugängliche Informationen und Datenbanken werden verwendet, um Subdomains zu einer Ziel-Domain zu finden. Auch API, wie etwa Censys, SecurityTrails oder RecordedFuture, sind sehr gute Quellen für Subdomains. Certificate Transparency Logs sind ebenfalls eine Quelle, die verwendet werden kann. Eher unbekannt, weil schwer automatisierbar, sind Suchmaschinen aller Art, angefangen bei Google und Bing, bis hin zu spezialisierten Suchmaschinen wie Shodan oder Github.

Was ist aktive Subdomain-Enumeration?

Aktive Methoden der Subdomain Enumeration sind das Gegenteil passiver Methoden. Hier sendet man Datenpakete an das Ziel, um herauszufinden, ob es eine valide Subdomain ist. Wortlisten, wie die von seclists, werden im Rahmen von Brute Forcing verwendet. Tools, wie massdns, erlauben das schnelle Auflösen von hunderttausenden Subdomains.

Aktive Methoden, wie HTTP-Antworten oder DNS-Daten

Eine weitere Quelle für Subdomains ist eine sehr aktive - das Fuzzen von Dateien und Ordner, vor allem Javascript bieten oft Hostnamen, die man sonst nicht findet. Gleiches hilt für die Analyse von HTTP-Headern, CNAME und NS-Einträgen - in diesen Daten verbergen sich oft weitere Subdomains.

Permutationen und Alterationen

Alterations sind eine weitere aktive Methode - hierbei werden bekannte Subdomains verändert und dann resolved, um zu schauen, ob diese ggf. exisiteren. Das ist eine sehr aufwendige Methode, die aber oft sehr gute Ergebnisse liefert - vor allem, bei Subdomains, die keine SSL-Zertifikate haben und so oft unter dem Radar von passiven Methoden bleiben. Als Beispiel könnte man die Domain "jira1.domain.com" nehmen - während des Alteration-Prozesses könnte geprüft werden, ob "jira2.domain.com" oder "jira3.domain.com" existieren.

Tools und Quellen für Subdomains

Im Folgenden findet man eine Liste bekannter Tools und Quellen für Subdomains.

  1. Software: subfinder
  2. Software: amass
  3. Software: findomain
  4. Software: assetfinder
  5. Software: gau
  6. Software: waybackurls
  1. Cert Logs: crt.sh
  2. Cert Logs: google.com
  3. Cert Logs: facebook.com
  4. Allgemein: dnsdumpster.com
  5. Allgemein: Rapid7

Wie geht man mit Wildcard-Domains um?

Ein essentieller Bestandteil der Subdomain Enumeration ist der Umgang mit Wildcard-Domains. Diese bringen eigene Probleme mit sich, weil quasi jede Subdomain aufgelöst wird. Um hier "Licht ins Dunkel" zu bringen, muss man auf aktive Methoden ausweichen und HTTP-Requests an die Subdomains schicken. Anschließend kann man über die Antwort entscheiden, ob die Subdomain relevant (oder einzigartig) ist. Was sich trivial anhört, ist alles andere als einfach.

Wer bietet professionelle Subdomain Enumeration an?

Professionelle Subdomain Enumeration wird von uns angeboten und ist Teil von OSINT bzw. unserer Argos Security Plattformm. Hierbei handelt es sich um ein External Attack Surface Management, das natürlich jeden Tag nach neuen Subdomains im Internet sucht und auch aktiv nach neuen Subdomains sucht. Die Ergebnisse werden dann in einer übersichtlichen Weboberfläche präsentiert und können auch in andere Tools integriert werden.

Vielen Dank für dein Feedback! Wir werden es prüfen und unseren Artikel anpassen.

Hast du Feedback zum Thema Subdomain Enumeration? Schreib uns!

Damian Strobel
Wollen Sie wissen, welche Subdomains unser eASM finden kann? Fragen Sie uns!