LIVE_FEED
--:--:--[HIGH]shop-***-deals.comMagecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.netDrive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.ioObfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.coCredential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.orgMalicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.comFakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.appUnauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ruDrive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyzC2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shopAffiliate cloaking + cookie stuff// US-CENTRAL--:--:--[HIGH]shop-***-deals.comMagecart skimmer (Group 7)// US-EAST--:--:--[HIGH]wp-***-blog.netDrive-by iframe → exploit kit// EU-WEST--:--:--[MEDIUM]cdn-***-helper.ioObfuscated cryptominer (CoinIMP)// AP-SOUTH--:--:--[HIGH]auth-***-login.coCredential phishing kit (16shop)// EU-CENTRAL--:--:--[MEDIUM]media-***-files.orgMalicious redirect chain → ClickFix// US-WEST--:--:--[HIGH]support-***-desk.comFakeUpdates / SocGholish payload// US-EAST--:--:--[LOW]track-***-pixel.appUnauthorized 3rd-party tracker// EU-NORTH--:--:--[MEDIUM]img-***-host.ruDrive-by download (TLD reputation)// EU-EAST--:--:--[HIGH]api-***-stats.xyzC2 beacon (Cobalt Strike profile)// AP-EAST--:--:--[LOW]promo-***-coupon.shopAffiliate cloaking + cookie stuff// US-CENTRAL
← назад към блога
Engineering2026-05-127 мин. четене

Was ist eine Malware-Domain-Blocklist (und wie wir über 500 Quellen zusammenführen)

Eine Blocklist ist nur so gut wie ihre Quellen und ihre Aktualisierungsfrequenz. So konsolidieren wir über 500 Feeds zu einer einzigen Lösung bei jedem Scan.

Eine Malware-Domain-Blocklist ist eine kuratierte Sammlung von Domains und IP-Adressen, die dafür bekannt sind, Malware, Phishing, Command-and-Control-(C2-)Infrastruktur oder Exfiltrations-Endpunkte zu hosten. Für Web-Skimming ist der Nutzen direkt: Wenn eine Checkout-Seite sich mit einer Domain aus einer solchen Liste verbindet, haben Sie einen bestätigten Vorfall.

Eine einzige Quelle reicht nie aus. Verschiedene Feeds decken unterschiedliche Bedrohungen ab, werden in unterschiedlichen Intervallen aktualisiert und haben unterschiedliche False-Positive-Raten. Deshalb konsolidiert ExploitShield über 500 Quellen in mehreren Kategorien: kommerzielle Intelligence (Spamhaus DBL, DROP, SURBL), offene Community-Feeds (URLhaus, OpenPhish, PhishTank, abuse.ch, MalwareBazaar, Feodo Tracker, ThreatFox), DNS-Layer-Reputation (Quad9, öffentliche OpenDNS-Listen) und allgemeine Erkennungslisten (Maltrail, StevenBlack).

Der Zusammenführungsprozess: Jeder Feed wird in eine kanonische Form normalisiert (Domain, IP oder URL-Muster), quellenübergreifend dedupliziert, mit Herkunft und Vertrauensstufe versehen und stündlich aktualisiert. Bei jedem Scan werden die vom Browser gesehenen ausgehenden Ziele gegen den zusammengeführten Satz geprüft – nicht gegen eine veraltete lokale Kopie.

Warum die Aktualisierungsfrequenz entscheidend ist: Exfiltrations-Domains existieren oft nur wenige Tage. Eine wöchentlich aktualisierte Liste verpasst sie vollständig. Indem wir bei jedem Scan gegen stündlich aktualisierte Feeds prüfen, erkennen wir Domains in ihren ersten Stunden der Aktivität – genau das Fenster, in dem eine Kampagne den größten Schaden anrichtet.

Die Blocklist erzählt nicht die ganze Geschichte – eine brandneue Domain, die noch in keinem Feed enthalten ist, wird über WHOIS-Alter und Skimmer-Endpunkt-Heuristiken gemeldet. Aber für bekannte Bedrohungen ist eine breite und häufig aktualisierte Abdeckung die erste Verteidigungslinie, weshalb wir sie als Engineering-Problem behandeln und nicht als einmalige Integration.

свързани_статии
Detection
Magecart-Skimmer erkennen im Jahr 2026: Was sich nach Gruppe 12 verändert hat
Threat Intelligence
Anatomie des „Fake-CAPTCHA → ClickFix“-Köders