Secshow ist der Name einer chinesischen Gruppe, die über das China Education and Research Network (CERNET) globale DNS-Abfragen durchführt. Diese Abfragen zielen darauf ab, DNS-Antworten von offenen Resolvern zu ermitteln und zu messen. Ein offener Resolver ist ein Gerät, das durch fehlerhafte Konfiguration jede DNS-Anfrage aus dem Internet auflöst oder weiterleitet. Solche offenen Resolver stellen ein Sicherheitsrisiko dar und werden häufig für DNS-gestützte DDoS-Angriffe genutzt.
Im Juli 2023 entdeckten die Forscher von Infoblox Aktivitäten von Secshow. Anfang 2024 wurde eine Zusammenarbeit mit anderen Forschern begonnen, um die Kodierung der IP-Adressen und Zeitstempel in den DNS-Anfragen zu analysieren. Die Secshow-Akteure kontrollieren mehrere Domains wie secshow[.]online, secshow[.]net und secdns[.]site, die auf CERNET-IP-Bereichen gehostet werden. Diese Domains wurden zwischen Juni und Dezember 2023 registriert.
Secshow verwendet den Begriff „Probe“ anstelle von „Scan“, um die aktive und tiefgehende Erkundung von Netzwerken, deren Konfigurationen und Schwachstellen zu betonen. Das Endziel der Secshow-Aktivitäten bleibt unklar, doch die gesammelten Informationen können für bösartige Zwecke genutzt werden und dienen ausschließlich den Interessen der Akteure.
Die Operatoren von Secshow senden DNS-Anfragen an IP-Adressen weltweit, sowohl IPv4 als auch IPv6. Diese Anfragen enthalten codierte Informationen wie die Ziel-IP-Adresse und einen Zeitstempel. Wenn ein Zielgerät eine DNS-Anfrage erhält, können verschiedene Reaktionen erfolgen:
- Ein offener DNS-Resolver löst die Anfrage auf und sendet eine Antwort zurück.
- Ein nicht offener Resolver oder eine Firewall kann eine ICMP-Antwort zurücksenden.
- Ein nicht offener Resolver kann die Antwort an einen anderen Resolver weiterleiten.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: