URL Ofuscadas: Die Kunst, bösartige Links zu verbergen

Einführung

Im aktuellen Bedrohungsumfeld sind verschleierte URLs ein wiederkehrendes Mittel in bösartigen Kampagnen. Bedrohungsakteure nutzen diese Technik nicht als Selbstzweck, sondern als Mechanismus zur Umgehung und Persistenz, der es ihnen ermöglicht, die Effektivität ihrer Angriffe zu maximieren.

Die Verschleierung von Links erleichtert das Umgehen traditioneller Sicherheitskontrollen wie E-Mail-Filter, Antimalware-Engines oder Web-Gateways und verringert die Wahrscheinlichkeit, dass ein Analyst oder Endbenutzer das Risiko bei einer schnellen Inspektion erkennt. Dadurch werden URLs zu einem flexiblen und schwer zu verwaltenden Angriffsvektor, der sich leicht an verschiedene Szenarien anpassen lässt: von gezielten Phishing-Kampagnen (Spear Phishing) bis hin zur verdeckten Verbreitung von Malware oder der lateralen Bewegung innerhalb einer kompromittierten Infrastruktur.

Zu verstehen, wie Angreifer Verschleierung nutzen, ist für jede auf Cybersicherheit ausgerichtete Organisation grundlegend: Es ermöglicht, die Fähigkeiten zur Früherkennung zu stärken, Regeln für Threat Hunting anzupassen und forensische Analyseprozesse zu verfeinern. Außerdem hilft die Sichtbarmachung dieser Techniken, Trends in der Entwicklung digitaler Betrugsformen und der aktuell am häufigsten genutzten Umgehungsmechanismen vorherzusehen.

Häufigste Verschleierungstechniken

In diesem Abschnitt werden wir einige der gebräuchlichsten URL-Verschleierungstechniken behandeln, die für Sicherheitsteams über Jahre hinweg eine ständige Herausforderung dargestellt haben. Obwohl sie auf den ersten Blick trivial erscheinen mögen, werden sie bei absichtlicher Anwendung zu äußerst effektiven Werkzeugen in den Händen bösartiger Akteure. Diese Techniken zielen nicht nur darauf ab, den Endnutzer zu täuschen, sondern auch automatische Kontrollen zu umgehen und die Analyse- und Erkennungsarbeit der Unternehmensabwehr zu erschweren.

Verwendung von URL-Verkürzern

Linkverkürzer sind eines jener Werkzeuge, die mit der besten Absicht entstanden sind: lange und komplizierte Adressen handhabbarer zu machen. Dienste wie bit.ly oder tinyurl wurden sehr populär, weil sie erlauben, einen sauberen und leicht merkbaren Link zu teilen. Das Problem ist, dass genau diese Eigenschaft von Angreifern über Jahre hinweg ausgenutzt wurde, um bösartige Ziele hinter einem harmlosen Erscheinungsbild zu verbergen.

Wenn ein Link verkürzt ist, ist es praktisch unmöglich, auf einen Blick zu erkennen, wohin er führt. Dieser „Schleier“ ist genau das, was Angreifer wollen: dass der Nutzer nicht misstrauisch wird und ohne viel nachzudenken klickt. Ab da ist die Bandbreite der Möglichkeiten groß: von einer gut gemachten Phishing-Seite über den Download von Malware bis hin zu mehreren Weiterleitungen, die dazu dienen, Sicherheitskontrollen zu umgehen.

Für Cybersicherheitsteams bedeutet dies eine zusätzliche Herausforderung. Einen verkürzten Link aufzulösen erfordert Zeit und Werkzeuge, und es ist nicht immer trivial, den Prozess in großem Maßstab zu automatisieren.

Mehrfache Weiterleitungen

Auf den ersten Blick mag es unnötig erscheinen, aber diese Taktik hat ein sehr klares Ziel: die Erkennung und Analyse zu erschweren. Jeder Sprung kann auf einer kompromittierten legitimen Domain, einem wenig überwachten Cloud-Dienst oder auf kurzlebigen Seiten gehostet sein, die nach einigen Stunden verschwinden. So wird der Link zu einer Art digitaler „Matroschka“: Um zum endgültigen Inhalt zu gelangen, müssen mehrere Schichten geöffnet werden.

Das Problem für Sicherheitsteams ist offensichtlich. Eine Sandbox oder ein E-Mail-Filter kann den ersten Sprung erkennen und blockieren, aber den zweiten oder dritten übersehen, genau dort, wo sich der Payload oder die Phishing-Seite befindet. Außerdem kostet die forensische Analyse, bei der die gesamte Kette der Weiterleitungen rekonstruiert wird, Zeit, und manchmal sind die Zwischen-Domains nicht mehr verfügbar, was die Untersuchung erschwert.

Deshalb kombinieren viele Organisationen neben automatisierten Kontrollen Techniken der dynamischen Auflösung, Bedrohungsintelligenz und DNS/HTTP-Verkehrsüberwachung, um diese Muster zu erkennen. Eine Mehrfachweiterleitung zu entdecken bedeutet nicht immer, dass sie bösartig ist, aber es ist definitiv ein Warnsignal, das sofortige Aufmerksamkeit verdient.

Verwendung von Subdomains

Der Missbrauch von Subdomains ist eine weitere häufige Verschleierungstechnik und vielleicht eine der effektivsten, um einen unaufmerksamen Benutzer zu täuschen. Die Idee ist einfach: Eine legitime Domain in eine lange URL einzufügen, aber an einer Position, die nicht der Hauptdomain entspricht, sodass sie auf den ersten Blick vertrauenswürdig erscheint.

Ein klassisches Beispiel ist so etwas wie:

login.banco.com.seguro-online[.]xyz

Auf den ersten Blick lesen viele nur "login.banco.com" und gehen davon aus, dass sie sich auf dem Portal ihrer Bank befinden. Die tatsächliche Domain ist jedoch "seguro-online[.]xyz", und alles davor ist nur eine Subdomain, die Vertrauen erzeugen soll.

Angreifer nutzen dieses Muster aus, weil sie wissen, dass die meisten Benutzer nicht darauf trainiert sind, eine URL von rechts nach links zu lesen, was die korrekte Methode ist, um die Root-Domain zu identifizieren. Für Sicherheitsteams stellt diese Art von Täuschung eine Herausforderung dar, da sie mit legitimen Infrastrukturen (CDNs, Cloud-Diensten oder SaaS-Plattformen) koexistieren kann, die umfangreiche und verwirrende Subdomains völlig legitim verwenden.

Die Minderung dieses Risikos erfordert eine Kombination aus Benutzerschulung, automatisierter Analyse von Domainmustern und strengen Navigationsrichtlinien. Außerdem ist es in Unternehmensumgebungen oft ratsam, Whitelists für kritische Domains anzuwenden und die Sichtbarkeit auf massenhaft erstellte verdächtige Subdomains zu verstärken.

Unicode-Zeichen / IDN-Homographen

Eine der täuschendsten und am schwersten auf den ersten Blick zu erkennenden Techniken ist die Verwendung von Unicode-Zeichen in Domains, auch bekannt als IDN-Homographen-Angriff (Internationalized Domain Names). Die Prämisse ist einfach: Buchstaben aus verschiedenen Alphabeten (kyrillisch, griechisch usw.) zu nutzen, die visuell fast identisch mit denen des lateinischen Alphabets sind.

Zum Beispiel kann ein Angreifer eine Domain registrieren wie:

раypal.com

Auf den ersten Blick sieht es aus wie paypal.com, aber das anfängliche "p" ist kyrillisch geschrieben, nicht lateinisch. Für das menschliche Auge und oft auch für die einfachsten automatischen Kontrollen ist der Unterschied fast nicht wahrnehmbar.

Diese Art der Verschleierung ist besonders gefährlich, weil sie direkt auf das visuelle Vertrauen abzielt. Benutzer glauben, dass sie sich auf einer legitimen Seite befinden, geben ihre Zugangsdaten ein und vermuten nicht einmal einen Betrug. Für Sicherheitsteams bedeutet die Erkennung dieser Fälle, über eine klassische Filterung hinauszugehen: Es werden Mechanismen benötigt, die den punycode zugrunde liegend (xn--...) und die in der Lage sind, verdächtige visuelle Ähnlichkeiten zu erkennen.

In Unternehmensumgebungen können Homographen-Angriffe verwendet werden für:

• Phishing Gezielte (Spear-Phishing) Angriffe gegen Mitarbeiter. 
• Brand-Abuse-Kampagnen, bei denen bösartige Varianten einer legitimen Domain registriert werden. 
• Verdeckte Datenexfiltration, bei der C2-Endpunkte in scheinbar legitimen Domains getarnt werden.

Die Minderung dieser Bedrohung erfordert einen kombinierten Ansatz: aktive Überwachung von ähnlichen Domain-Logs (Typosquatting), interne Sensibilisierung und den Einsatz von Erkennungsmechanismen, die diese Muster im Web- und E-Mail-Verkehr identifizieren können.

Kodierung in der URL

URL-Kodierung ist eine der ältesten, aber immer noch effektiven Verschleierungstechniken. Das Prinzip ist einfach: das tatsächliche Ziel zu verbergen, indem alternative Text- oder Adressdarstellungen verwendet werden, die Browser interpretieren können, die aber für das menschliche Auge nicht offensichtlich sind.

Zu den häufigsten Varianten gehören:

Kodierung von IP-Adressen in alternativen Formaten Anstatt die klassische Dezimalnotation zu verwenden (http://192.168.0.1), können Angreifer die IP schreiben in:

• Hexadezimal →http://0xC0.0xA8.0x00.0x01
• Oktal →http://0300.0250.0000.0001
• Einzelner Dezimalwert (DWORD) →http://3232235521
• Gemischte Kombinationen →http://0xC0.0250.0x00.1

All diese Varianten führen zum gleichen Ziel, machen den Link jedoch viel weniger erkennbar.

Zeichenkodierung in Hexadezimal oder UTF-8 Jeder URL-Zeichen kann als sein ASCII- oder Unicode-Wert dargestellt werden, zum Beispiel:

http://%65%78%61%6D%70%6C%65.com → entspricht http://example.com

Dies erschwert eine schnelle Inspektion und kann Systeme verwirren, die die URL vor der Analyse nicht normalisieren.

Hybride Kombinationen Eine einzelne URL kann mehrere Methoden mischen (Beispiel: Domain in Hexadezimal + Parameter in Base64), was sie noch schwerer lesbar und manuell analysierbar macht.

Das Ziel dieser Technik ist klar: die Identifikation des tatsächlichen Ziels zu erschweren und Zeit gegenüber Erkennungsmechanismen zu gewinnen. Für Sicherheitsteams bedeutet dies, URLs vor der Analyse automatisch zu normalisieren und zu dekodieren. Das Ignorieren dieses Schritts kann dazu führen, dass wichtige Indikatoren übersehen werden, insbesondere bei Phishing-Kampagnen, über das Web verbreiteter Malware oder C2-Kommunikationen.

Missbrauch des Schemas

Ein weiteres häufiges Mittel zur Verschleierung von URLs ist der Missbrauch des Schemas (der Anfangsteil der URL, der das Protokoll angibt, wie http://,https://,ftp://, usw.) in Kombination mit dem Symbol @ Obwohl dieses Symbol einen gültigen Zweck in der URL-Syntax hat Benutzeranmeldedaten und Host trennen, wird in der Praxis fast nie im modernen Web-Browsing verwendet. Und genau diese Seltenheit macht es zu einer ausgezeichneten Tarnung.

Beispiel:

https://banco.com@malicioso.com/login

Auf den ersten Blick lesen viele Benutzer banco.com und gehen davon aus, dass der Link zum legitimen Portal ihrer Bank gehört. Allerdings ist alles, was vor dem @ wird als Anmeldedaten behandelt, und die tatsächliche Domain, mit der der Browser verbunden ist, ist malicioso.com.

Dieser Trick wird seit Jahren in Phishing-Kampagnen verwendet, weil er ein kognitives Muster ausnutzt: Das menschliche Auge neigt dazu, sich auf den Anfang der URL zu konzentrieren und nicht auf den wirklich wichtigen Teil (die Root-Domain rechts).

Für Sicherheitsteams stellt diese Art der Verschleierung eine Herausforderung dar, da sie nicht immer durch oberflächliches Filtern erkannt wird und viele Benutzer nicht darin geschult sind, das Risiko zu erkennen. Tatsächlich zeigen einige moderne Browser bereits Warnungen an oder blockieren Links mit @ verdächtigen Kontexten zu blockieren, aber die Technik ist weiterhin aktuell, insbesondere in E-Mails, Messaging-Anwendungen und verschleierten Dokumenten.

Die Abmilderung besteht darin, URLs vor der Analyse zu normalisieren, Benutzer darin zu schulen, Domains von rechts nach links zu lesen, und Nutzungsmuster in @ in Links, die dies nicht legitim erfordern.

Praktisches Beispiel für Verschleierung (POC)

Nachdem die gängigsten Verschleierungstechniken beschrieben wurden, besteht der nächste Schritt darin, sie in der Praxis anzuwenden. In diesem Abschnitt werden wir untersuchen, wie sie kombiniert oder angepasst werden können, um komplexere und realistischere Szenarien zu erstellen. Das Ziel ist nicht nur, die Kreativität der Angreifer zu zeigen, sondern auch zu verdeutlichen, dass diese Taktiken sowohl für technisch ungeschulte Benutzer als auch für erfahrene Fachleute unbemerkt bleiben können.

Die Realität ist, dass viele dieser Techniken, wenn sie richtig angewendet werden, selbst für geschulte Sicherheitsteams schwer zu erkennen sind, was ihre Aktualität und Gefährlichkeit in Unternehmensumgebungen beweist.

Als Ziel dieser POC nehmen wir die Website der Beiträge als Referenz, www.flu-project.com, und wir werden es als hypothetischen Fall verwenden. In dieser POC werden wir keine echte Domain registrieren, sondern so tun, als hätten wir es getan. Dazu simulieren wir die Erstellung einer Domain unter Verwendung einer der im Beitrag erwähnten Techniken: die Verwendung von IDN-Homographen, um eine visuell ähnliche Domain zu erzeugen.

Es ist hervorzuheben, dass die meisten modernen Browser bereits native Punycode-Dekodierung enthalten, was die Wirksamkeit dieser Techniken einschränkt. Folglich müssen Angreifer auf alternative Methoden oder komplexere Kombinationen zurückgreifen, um das gleiche Maß an Verschleierung zu erreichen.

El Domain am einen Bindestrich haben könnten Zeichen wie Figure Dash um es zu ersetzen:

Original: www.flu-project.com

Bösartige Domain in echter POC, die wir verwenden (evil.com): www.flu‒project.com

Als zweiter Schritt, wird wird verwendet ein URL-Kürzer, um einen kürzeren Link zu erzeugen, was es erschwert, auf den ersten Blick die endgültige Domain zu erkennen, auf die verwiesen wird:

In diesem Fall wurde die generierte URL:

https://rb.gy/4hz4za

Eine noch effektivere Form der Verschleierung wäre der Missbrauch des Schemas, zum Beispiel:

https://www.flu-project.com@rb.gy/4hz4z

Für eine bessere Verschleierung man muss verstehen, dass vor dem @ in einer URL sind keine Leerzeichen erlaubt, @, /, ?, #, : weder Steuerzeichen noch Steuerzeichen, was unsere Möglichkeit einschränkt, eine Verschleierung "fortgeschrittener" in Theorie.

Das besser wäre Parameter ansehen GET der Webseite,

in diesem Fall gibt es nicht viele, da es sich um einen einfachen Blog handelt, also wird würde inventarisieren eine Pfad der Login-Link zum Beispiel:

https://www.flu-project.com/signin/id?as=S33687126557826461780271839

&authuser=0

&client_id=2389046141273-dfgshadfh347828679adap.apps.flu-project.com

&flowName=GeneralOAuthFlow

&response_type=code

&scope=email%20profile%20openid

&state=Af3fG5H7Jk9L1Mn2Op3Q

&nonce=Zx1Cv2Bn3Mq4Lp5R

&redirect_uri=

www.flu-project.com

&session_state=a

idus42

3def456ghi789jkl0

&prompt=select_account

&hd=flu-project.com

&login_hint=user%40flu-project.com

&include_granted_scopes=true

&code_challenge=

Z2!FpJ7nK0qR4xXvT8cB1sM6y-_LdE3wF9oP5hGvQ(

&code_challenge_method=S256

&utm_source=newsletter

&utm_medium=email

&csrf_token=098f6bcd4621d373cade4e832627b4f6

Da es so viele GET-Parameter gibt, kann unser Payload leichter in einem von ihnen zu verpacken. Wie bereits erwähnt, würden Zeichen wie / und ? die Missbrauchstechnik des Schemas mittels @ unterbrechen. Daher ist es am klügsten, Zeichen zu verwenden, die den Originalen so ähnlich wie möglich sind und solche zu vermeiden, die die Struktur der URL stören.

Es gibt Seiten wo wir finden können ähnliche Zeichen:

? --> https://symbl.cc/en/003F/

/ -->https://symbl.cc/en/002F/

Das Interessante an diesen Zeichen ist, dass sie optisch den Originalen ähneln können, aber das Protokoll nicht brechen, da sie nicht genau dieselben sind. Mit diesem Gedanken können wir entscheiden, welchen GET-Parameter wir verschleiern leine bösartige URL. In diesem Fall, wird verwendet der Parameter code_challenge.

Im Folgenden, wird wird angewendet URL-Encoding des Payloads, damit es unauffälliger ist. Außerdem, wird wird kodieren die bösartige URL, wobei der @ und der # am Ende, sodass der Rest der Parameter nach dem Payload ignoriert wird, was so aussehen würde:

• Bösartige URL: rb.gy/4hz4za
• Vorbereitete bösartige URL für den GET-Parameter: @%72%62.%67%79/4hz4za#
• Endparameter:&code_challenge=Z2%21FpJ7nK0qR4xXvT8@%72%62.%67%79/4hz4za#cB1sM6y%2D%5FLdE3wF9oP5hGvQ%28

Wie man sehen kann, ist es ziemlich schwer auf den ersten Blick zu erkennen. Jetzt bleibt nur noch, die zuvor genannten Zeichen durch ihre sicheren Äquivalente zu ersetzen, damit das Protokoll nicht unterbrochen wird.

Das Zeichen ? kann ersetzt werden durch ‽. Was das Zeichen betrifft /, entsteht ein Dilemma: Jede Schriftart oder jedes System interpretiert diese Art von Slash unterschiedlich, daher ist es notwendig, verschiedene Varianten auszuprobieren, um zu bestimmen, welche in jedem Fall am besten funktioniert. Jede Plattform behandelt diese Zeichen anders, daher muss die Wahl an die spezifische Umgebung angepasst werden.

In diesem Fall skann beobachten, wie sie in Chrome aussehen, um die ähnlichste zu bestimmen:

In diesem Fall, wird entschieden die letzte Option verwenden, "Big Solidus" (https://symbl.cc/en/29F8/). Wenn man all dies berücksichtigt, wird pkann die bösartige End-URL zu generieren, die wie folgt aussehen würde:

• Bösartige End-URL: https://www.flu-project.com⧸signin⧸id‽as=S33687126557826461780271839&authuser=0&client_id=2389046141273-dfgshadfh347828679adap.apps.flu-project.com&flowName=GeneralOAuthFlow&response_type=code&scope=email%20profile%20openid&state=Af3fG5H7Jk9L1Mn2Op3Q&nonce=Zx1Cv2Bn3Mq4Lp5R&redirect_uri=www.flu-project.com&session_state=abc123def456ghi789jkl0&prompt=select_account&hd=flu-project.com&login_hint=user%40flu-project.com&include_granted_scopes=true&code_challenge=Z2%21FpJ7nK0qR4xXvT8@%72%62.%67%79/4hz4za#cB1sM6y%2D%5FLdE3wF9oP5hGvQ%28&tracking_id=UA-12345678-9&utm_source=newsletter&utm_medium=email&csrf_token=098f6bcd4621d373cade4e832627b4f6

Wie wird erwähnte zuvor kann das Aussehen der Schrägstriche je nach Anzeigeort der URL variieren. Obwohl sie in Chrome korrekt dargestellt werden, könnten andere Plattformen sie verzerren, weshalb es notwendig ist, verschiedene Varianten zu testen, um die beste Darstellung sicherzustellen.

Bleibt so im Browser:

Wie in dieser POC zu sehen ist, ist die resultierende finale URL sehr schwer nachzuverfolgen und praktisch mit bloßem Auge, selbst für technisches Personal, nicht wahrnehmbar. Dies zeigt, wie die Kombination von Verschleierungstechniken das tatsächliche Ziel eines Links effektiv verbergen kann..

Video-Demonstration in Edge:

Fazit:

Abschließend wurde in diesem Beitrag gezeigt, wie Angreifer mehrere Techniken zur URL-Verschleierung einsetzen können, um das wahre Ziel eines Links zu verbergen und dessen Erkennung zu erschweren. Von der Nutzung von URL-Shortenern und mehrfachen Weiterleitungen bis hin zur Manipulation von Subdomains, IDN-Homographen, fortgeschrittener Zeichencodierung und dem Missbrauch von URL-Schemata – jede Methode bringt eigene Vorteile und Herausforderungen für diejenigen mit sich, die bösartige Verhaltensweisen identifizieren wollen.

Die beigefügte POC veranschaulicht praktisch, wie die Kombination dieser Techniken Links erzeugen kann, die auf den ersten Blick harmlos erscheinen und sogar Benutzer und Cybersicherheitsexperten verwirren können. Dies unterstreicht eine wichtige Tatsache: Sicherheit hängt nicht nur vom Wissen des Nutzers ab, sondern auch von der Implementierung von Überwachungswerkzeugen, Verkehrsanalysen und robusten URL-Validierungspolitiken innerhalb jeder Organisation.

In einem weiteren Kontext ermöglicht das Verstehen und Dokumentieren dieser Techniken Sicherheitsteams, sich auf ausgeklügelte Angriffe vorzubereiten und effektivere Verteidigungen zu entwerfen, Risiken zu minimieren und die allgemeine Cybersicherheitslage des Unternehmens zu stärken. Bildung, kontrolliertes Experimentieren und die Dokumentation dieser Methoden sind entscheidend, um den Angreifern einen Schritt voraus zu sein.

Félix Sánchez, Offensive Cybersecurity Analyst bei Zerolynx von Cybertix.