Atributionstabelle zur DNS-Missbrauchsoperation via cfpro.ru
1. Diamond Model of Intrusion Analysis
| Komponente | Beschreibung |
|---|---|
| Adversary | Wahrscheinlich chinesischer Akteur mit staatlicher Anbindung (z. B. akademische Einrichtungen, Threat Actor „Muddling Meerkat“) |
| Capability | DNS-Aufklärung, Amplification-Testverfahren, globale Erhebung rekursiver Resolververfügbarkeit |
| Infrastructure | .ru-Domain cfpro.ru, gesteuerte Zone mit DNSSEC + >10 kB TXT-Payload, gehostet in Russland bzw. via Cloudflare |
| Victim | Offene DNS-Resolver weltweit (u. a. alle CenturionDNS-Resolver), Ziel: Identifikation, Katalogisierung, Missbrauchstauglichkeit |
2. Technische IoCs (Indicators of Compromise)
| Typ | Wert |
|---|---|
| Domain | cfpro.ru |
| Query-Typ | TXT, signiert via RRSIG |
| TTL | typ. 10 116 Sekunden |
| TXT-Content-Muster | txtchecksum-<base64-string> |
| EDNS Size | Antwortgrößen regelmäßig >10 000 B |
| Query-Rate | konstant ~8 000/Tag und Resolver |
| Source IPs | Mehrheitlich aus China: z. B. AS4134, AS4837, AS37963 |
| NS-Hosting | Cloudflare DNS, danica.ns.cloudflare.com / lennon.ns.cloudflare.com, IPs aus AS13335 (US) |
| RR-Typen | Keine A/AAAA/MX/SPF – rein für TXT Amplification präpariert |
3. MITRE ATT&CK-TTP Mapping (modularisiert)
| Taktik | Technik | Beschreibung |
|---|---|---|
| Reconnaissance | T1595 – Active Scanning | Systematische Abfrage offener Resolver weltweit |
| T1596 – Search Open Technical Databases | Kartierung DNS-Antwortverhalten | |
| Command & Control | T1071.004 – DNS | Nutzung von DNS als Steuer- oder Ausleitungskanal |
| Impact | T1498 – Network DoS | Präparierung für spätere DNS-Amplification |
| Defense Evasion | T1568.002 – Domain Trust Abuse | Nutzung legitimer TLD mit schwer sanktionierbarem Verhalten |
4. Verdachtsmomente & Kontexte
| Merkmal | Bewertung |
|---|---|
Domain liegt in .ru, aber über Cloudflare verwaltet | ➤ Globaler Registrar, nicht zwingend russisch kontrolliert |
| Konsistente Quell-IP-Muster aus China | ➤ Wahrscheinlich staatlich unterstützte Reconnaissance |
| Keine Spoofed IPs, echte Anfragen mit DNSSEC | ➤ Ziel: Kartierung, kein unmittelbarer DDoS |
txtchecksum-… Struktur: künstlich generierte Payload | ➤ Absichtliche Verstärkung – keine legitime Funktion |
| Vergleichbare Fälle in Forschungsliteratur dokumentiert | ➤ Übereinstimmung mit „Muddling Meerkat“ und verwandten Operationen |
5. Bewertung des Akteursmodells
| Bewertungsebene | Einschätzung |
|---|---|
| Komplexität der Infrastruktur | Mittel (signierte Payload, keine Steuerlogik sichtbar) |
| Resourceneinsatz | Hoch (tausende aktive Query-Endpunkte in CN) |
| Motivation | Mapping rekursiver Resolver zur späteren Nutzung |
| Mögliches Sponsoring | Staatlich (China), akademisch, semi-offiziell |
| Russischer Bezug | Infrastrukturstandort – keine Hinweise auf Steuerung aus Russland |