Abrufen von Domain WHOIS-Verlaufsdaten nach der Redigierung

WHOIS-Informationen sind für jeden Cybersicherheitsforscher unverzichtbar. Sie sind eine wichtige Ressource für die Suche nach Registrierungsinhabern aus verschiedenen Gründen, von der Beilegung von Marken- und Cybersquatting-Streitigkeiten bis hin zur Konfiguration von Websites. Mithilfe von WHOIS-Einträgen kann ein Sicherheitsanalyst oder Website-Administrator schnell mit einem Registrierungsinhaber Kontakt aufnehmen, um einen Streitfall zu lösen oder einzureichen, eine Domain problemlos zu übertragen oder ein gültiges Secure Sockets Layer (SSL)-Zertifikat einzurichten.

Mit der Einführung der Datenschutz-Grundverordnung (DSGVO) war die Internet Corporation for Assigned Names and Numbers (ICANN) jedoch gezwungen, ihre Richtlinien für die Verfügbarkeit von WHOIS-Daten zu ändern. Die Umsetzung der vorübergehenden Spezifikation für Registrierungsdaten generischer Top-Level-Domains (gTLD) durch die ICANN im Jahr 2018 führte dazu, dass Millionen von WHOIS-Einträgen aus dem öffentlichen Bereich entfernt wurden.

Nach der neuen Regelung müssen sowohl Registrare als auch Registries ausdrücklich darauf hinweisen, dass die Angaben zum Eigentümer einer Domain „aus Datenschutzgründen unkenntlich gemacht“ wurden, es sei denn, der Domaininhaber stimmt der Veröffentlichung seiner Registrierungsdaten zu. Diese Richtlinie gilt für alle Daten, die über WHOIS- oder RDAP-Protokolle (Registration Data Access Protocol) zugänglich sind.

Seitdem sind WHOIS-Abfragen komplizierter geworden. Was früher nur wenige Minuten dauerte, erfordert heute stundenlange Internetrecherchen und das Wechseln zwischen verschiedenen Anwendungen oder Datenbanken. Glücklicherweise gibt es andere Möglichkeiten, wie Analysten diese wichtigen Domain-Daten erhalten können, beispielsweise ein WHOIS-Verlaufssuchtool.

Was sind die Alternativen?

Die DSGVO bedeutet jedoch nicht zwangsläufig das Ende für öffentlich zugängliche WHOIS-Informationen. Die vorübergehende Spezifikation erlaubt es Nutzern weiterhin, WHOIS-Daten aus legitimen Gründen durch Einreichen eines Antrags von Registrierungsstellen zu erhalten. Antragsteller müssen nachweisen können, dass die Domain für Cybersquatting, Betrug und andere illegale Aktivitäten genutzt wurde. Auch wenn der Antragsprozess mit einigen Herausforderungen verbunden ist (z. B. mangelnde Standardisierung der Antragsverfahren), gibt es keinen Grund, warum Sicherheitsforscher ihn nicht nutzen sollten.

Bei dringenden Anfragen, beispielsweise im Falle einer strafrechtlichen Ermittlung, können Nutzer eine Vorladung beantragen. Vorladungen können für Nutzer mit höheren Kosten verbunden sein und Zeit in Anspruch nehmen, aber sie sind der schnellste Weg für Antragsteller, die mit ihren WHOIS-Plattformen in eine Sackgasse geraten sind oder keine Antwort von den Registraren erhalten haben. Einige Registraren reagieren manchmal nicht auf solche Anfragen, weil sie eine Verletzung der DSGVO befürchten.

Eine weitere Möglichkeit für Cybersicherheitsforscher, die Registrierungsdaten einer Domain zu erhalten, besteht darin, diese bei den Missbrauchskontakten anzufordern. Registrare mussten gemäß der DSGVO eine Missbrauchskontakt-E-Mail für eine Domain einrichten.

Wie Ihnen die WHOIS-Verlaufssuche helfen kann

Domain-Rechercheure können sich auf die WHOIS-Verlaufssuche verlassen, wenn sie auf datenschutzrechtlich geschützte WHOIS-Details stoßen, insbesondere bei angreifenden Domains. Durch die Abfrage der Daten des letzten bekannten Registranten einer Domain ist es möglich, mehr über die frühere Nutzung und Zugehörigkeit einer Domain zu erfahren.

Die WHOIS-Verlaussuche ist Teil unserer Neun-in-Eins-Suite von Domainüberwachungs- und Suchtools, der Domain Research Suite (DRS). Mit ihr können Benutzer Verlausaufzeichnungen einer Domain finden. Diese sind nach dem Datum sortiert, an dem die Domain aktualisiert wurde, und stammen aus einer umfassenden Datenbank, die mehr als 15,6 Milliarden Domains umfasst, die unser Unternehmen seit über zehn Jahren crawlt. Darum liefert das Tool genaue und vollständige Ergebnisse für Domains.

Nachfolgend finden Sie einige häufige Anwendungsfälle des Tools.

• Betrug bekämpfen: Die WHOIS-Verlaufssuche kann verwendet werden, um Beweise für betrügerische Domains oder Rechtsverletzer bei Markenstreitigkeiten, Gerichtsverfahren und Cyber-Ermittlungen zu sammeln.

• Aufspüren von Angreifern: Das Tool kann Verbindungen zwischen verdächtigen Domains und bekannten cyberkriminellen Netzwerken finden.

• Domain-Investitionen: Domaininhaber können damit feststellen, ob eine Domain eine lohnende Investition ist und ob sie nicht mit bösartigen Kampagnen in Verbindung steht.

Schritte zum Abrufen von Domainverlaufsdaten

• Registrieren Sie sich auf der Startseite der Domain Research Suite, um ein Konto zu eröffnen. Jedes neue Konto enthält 500 kostenlose DRS-Credits.
• Geben Sie einen Domainnamen in das Dashboard der WHOIS-Verlaufssuche ein.
• Das Tool zeigt alle WHOIS-Verlaufseinträge an, einschließlich Erstellungs- und Ablaufdatum, aktuelle und vorherige Besitzer und Registrare, Status, Kontaktdaten sowie Name und WHOIS-Server. Die Ergebnisse sind in zwei Abschnitte unterteilt:
  • Der erste Abschnitt enthält eine Übersicht über die Anzahl der WHOIS-Einträge der Domain, die Anzahl der festgestellten Änderungen, die Registrare, die Einträge mit öffentlichen Eigentumsdaten und die Gesamtzahl der Tage, an denen die Domain aktiv war.
  • Der zweite Abschnitt enthält eine Aufschlüsselung der Datensätze nach Datum und erweitert die Ergebnisse, um jeden Datensatz anzuzeigen.
• Benutzer können die Ergebnisse als PDF-Datei auf ihren Computer herunterladen. Alternativ können Sie, wenn Sie ein Befehlszeilentool ähnlich dem ursprünglichen „whois“-Befehl bevorzugen, um die benötigten Datensätze zu finden, diesen Dienst auch mit unserem Kommandozeilen-Tool "bestwhois" nutzen.

Das könnte Ihnen auch gefallen: Who is History Search Web Tool Tutorial

Demo für die WHOIS-Verlaufssuche zum Abrufen von nicht geschwärzten Datensatzdetails eines Angriffs IoC

Cybersicherheitsforscher stoßen häufig auf Domains, die als Indikatoren für Kompromittierungen (IoCs) identifiziert wurden und deren WHOIS-Einträge DSGVO-konform maskiert sind. In diesem Fall können sie ihre Untersuchung mithilfe dieser Schritt-für-Schritt-Anleitung fortsetzen.

1. Rufen Sie die Website WHOIS History Search https://drs.whoisxmlapi.com/whois-history auf. Loggen Sie sich ein.

2. Geben Sie den Domainnamen, den Sie untersuchen möchten, in das Eingabefeld Suchen ein und klicken Sie auf Suchen. Für diese Demonstration haben wir cabiria[.]biz verwendet - eine bekannte Lorec53 IoC.

3. Scrollen Sie nach unten, um zu überprüfen, wie viele WHOIS-Verlaufseinträge die Domain hat. Je höher die Zahl ist, desto größer ist die Chance, dass Sie herausfinden, wem die Domain gehört.

4. Öffnen Sie den aktuellen WHOIS-Eintrag der Domain. In diesem Fall wäre das der oberste Eintrag vom 29. März 2023.

5. Scrollen Sie nach unten, um zu überprüfen, ob die Registrierungsdaten öffentlich sind. In diesem Fall wurden sie gemäß DSGVO maskiert.

6. Öffnen Sie alle verfügbaren WHOIS-Verlaufsdatensätze, bis Sie einen finden, dessen Angaben zum Registranten nicht geschwärzt wurden. In diesem Fall wäre das der Eintrag vom 12. Mai 2018.

7. Wenn Sie im Datensatz nach unten scrollen, erhalten Sie den Namen, die E-Mail-Adresse, die Telefonnummer und weitere Details des Domaininhabers. Wir haben diese hier aus Datenschutzgründen geschwärzt. Wenn Sie Sicherheitsforscher sind, können Sie die Informationen nutzen, um weitere Lorec53-Artefakte zu finden.

Die DSGVO hat zweifellos Auswirkungen auf Nutzer, die zu Forschungszwecken auf WHOIS-Daten zugreifen müssen. Trotz einiger Hürden ermöglicht WHOIS History Search Cybersicherheitsforschern, Domaininhabern, Marketingexperten und Website-Entwicklern, den WHOIS-Verlauf einer Domain abzurufen und so ihre Bemühungen in einigen Fällen voranzutreiben. Dank der umfangreichen Datenbank kann WHOIS History Search vollständige und genaue WHOIS-Datensätze für jede Domain abrufen, die vor der DSGVO-Umsetzung online war.