Um zu verstehen, wie Underminr funktioniert, hilft ein Blick auf den heutigen Aufbau des Internets. Anders als im klassischen Lehrbuch, in dem ein DNS-Server eine menschenlesbare Domain wie darkreading.com einfach in eine IP-Adresse auflöst, sitzen viele Websites hinter einem CDN. Im Fall von darkreading.com ist das Cloudflare. Dort werden zahlreiche Domains hinter einer gemeinsamen Edge-IP-Adresse wie 104.16.224.171 gebündelt. Welche Seite tatsächlich gemeint ist, entscheidet das CDN anhand zweier weiterer Felder in der Anfrage: der Server Name Identification (SNI) aus dem TLS-Handshake und dem HTTP-Host-Header im verschlüsselten Teil der Anfrage.

ADAMnetworks identifizierte zwei Schwächen in diesem Modell. Erstens arbeiten DNS- und CDN-Systeme weitgehend getrennt voneinander: Das eine erledigt seine Aufgabe und reicht dann an das andere weiter, ohne dass beide ihre Interpretation abgleichen. Zweitens gruppieren CDNs etablierte, vertrauenswürdige Domains oft mit neuen, nicht vertrauenswürdigen hinter denselben Edge-IPs.

Dadurch kann ein Angreifer eine DNS-Abfrage für eine völlig vertrauenswürdige Domain wie darkreading.com an die IP 104.16.224.171 stellen. Ein Protective-DNS-Filter wertet die Anfrage als legitim und lässt sie passieren. In den vom CDN gelesenen Feldern gibt der Angreifer anschließend an, dass er eine ganz andere, an derselben Edge-IP gehostete Website besuchen möchte. Weder DNS- noch CDN-Anbieter bemerken, dass die jeweils andere Seite dieselbe Anfrage abweichend interpretiert hat – und selbst eine bösartige Zielseite können große CDNs häufig nicht erkennen.

Im Ergebnis lässt sich Datenverkehr zu einer schädlichen Seite durch eine vertrauenswürdige hindurchschleusen. Angreifer können so Betrug betreiben, Command-and-Control-Operationen (C2) ausführen oder Daten von Opfern abziehen, während sie die vertrauenswürdige Domain nutzen, um DNS-, signatur- und verhaltensbasierte Erkennung zu umgehen. Für die legitime Seite drohen umgekehrt der Verlust der Markenreputation sowie geschäftliche, rechtliche und logistische Probleme.

Die Betroffenheit ist regional ungleich verteilt: In den USA ist rund die Hälfte aller Seiten gefährdet, in Osteuropa ein Drittel, im stark regulierten Internet Chinas weniger als neun Prozent. Für ADAMnetworks belegt dieses Gefälle, dass Underminr kein unausweichliches Wesensmerkmal des Internets ist, sondern ein Designfehler.

Als Vorbild dafür, wie größere Anbieter ihre Kunden schützen können, nennt ADAMnetworks-CEO David Redekop den Dienstleister Fastly. Beim Domain-Fronting-Problem sei Fastly zwar spät dran gewesen, habe es nach Redekops Einschätzung aber am besten gelöst, indem das Unternehmen Kunden in Klassen einteilte – ein Verfahren, das er “Bucketizing” nennt. Dabei gruppiert ein CDN Domains absichtlich nach ihrer Reputation: etablierte Medien wie die New York Times und The Guardian landen gemeinsam in einem Topf, neue Domains zusammen mit anderen neuen Domains.

Dadurch sinkt das Risiko, dass dieselbe IP etwa die Startseite der New York Times und einen schädlichen C2-Server beherbergt, erheblich. Technisch verhindert das weder Domain Fronting noch Underminr, doch es nimmt der Methode ihren Reiz. Redekop betont, Organisationen hätten letztlich nur eine wirksame Handlungsoption: ihre Domain von dem Content-Delivery-Network wegzuziehen, das Underminr ermöglicht.