Mobile-Menu

DNS-Monitoring bringt IT-Sicherheit DNS-Fehler – Die unterschätzte Gefahr

Von Holger Unterbrink

DNS-Einträge werden meist einmal eingegeben – und dann vergessen. Doch Tippfehler, veraltete Ziele oder schlecht abgesicherte Routen können für Unternehmen fatale Folgen haben. Daher sollten sie den Routineservice immer wieder überprüfen.

Anbieter zum Thema

Unternehmen sollten regelmäßig die Einträge per DNS-Monitoring prüfen. Denn schon kleine Fehler oder veraltete Angaben können Einfallstore für Cyberkriminelle öffnen und zu großen Schäden führen.
Unternehmen sollten regelmäßig die Einträge per DNS-Monitoring prüfen. Denn schon kleine Fehler oder veraltete Angaben können Einfallstore für Cyberkriminelle öffnen und zu großen Schäden führen.
(© monsitj - stock.adobe.com)

Gemäß dem Global DNS Threat Report 2021 von IDC waren weltweit 87 Prozent der Unternehmen im vergangenen Jahr von DNS-Angriffen betroffen. Allein in Deutschland registrierten 83 Prozent solche Angriffe, wobei sie durchschnittlich von 8,9 Attacken berichteten. Die Kosten betrugen hierzulande rund 831.000 Euro pro Angriff. In Deutschland führten DNS-Attacken häufig zum Ausfall firmeninterner Anwendungen (53 Prozent) sowie zu Geschäfts- (39 Prozent) und Datenverlust (21 Prozent).

Diese Zahlen verdeutlichen, wie wichtig eine gute DNS-Pflege für die Netzwerksicherheit ist. Trotzdem unterschätzen viele Unternehmen die Gefahr. Denn DNS wird häufig als Routinedienst betrachtet, der – einmal eingerichtet – weitgehend von selbst läuft. Doch einerseits können menschliche Fehler bei der Konfiguration sowie unsauber durchgeführte Aktualisierungen zu großen Sicherheitslücken führen. Andererseits greifen Cyberkriminelle mit immer raffinierteren Methoden die DNS-Infrastruktur an.

Beispiel für fehlende Aktualisierungen: Tiburon

Vor kurzem stießen die Experten von Cisco Talos auf den nicht registrierten Domainnamen „tiburoninc.net“. Das Unternehmen Tiburon Inc. war ursprünglich Eigentümer und Betreiber dieser Domain und wurde im Jahr 2015 von TriTech übernommen. Diese Firma fusionierte 2018 mit mehreren Unternehmen zu CentralSquare Technologies, das den Domainnamen von Tiburon im April 2019 auslaufen ließ.

Ein Blick auf die passiven DNS-Daten zeigt jedoch, dass immer noch eine beträchtliche Menge an Internetverkehr versucht, diese Domain zu erreichen. Talos registrierte die Domain und stellte fest, dass ein Großteil der DNS-Anfragen von Internet-Computern stammte, die nach einer Datei namens „wpad.dat“ auf dem Webserver von tiburoninc.net suchten. WPAD wird verwendet, um die Proxy-Einstellungen des Webbrowsers in Unternehmen zentral zu verwalten.

Damit handelte es sich bei den Anfragen wahrscheinlich um Mitarbeitende von Tiburon/TriTech, deren Proxy-Einstellungen nie geändert wurden. Cyberkriminelle hätten dies ausnutzen können, um die von den Computern der Mitarbeitenden übertragenen Daten zu inspizieren und die als Antwort zurückgesendeten Daten zu manipulieren. Um dies zu verhindern, hat Talos die Lücke an CentralSquare gemeldet, das sie inzwischen geschlossen hat.

Beispiel für Tippfehler: ASSA ABLOY

Bei der Suche nach potenziellen Spamfallen-Domains entdeckten die Security-Spezialisten von Cisco Talos einen nicht registrierten Domainnamen, der laut Umbrella Investigate eine große Anzahl von DNS-Abfragen erhielt: „asssaabloy.net“. Dieser Name hat nur ein zusätzliches „s“ im Vergleich zum registrierten Domainnamen „assaabloy.net“ der ASSA ABLOY-Gruppe. Diese bietet Sicherheitslösungen für physische Zugangskontrollen.

Talos registrierte den Domainennamen und richtete einen DNS-Server ein, um den Datenverkehr zu analysieren. Die meisten Anfragen suchten nach einem Host namens „vpn.asssaabloy.net“. Es stellte sich heraus, dass es sich nicht um Typosquatting handelte, bei dem Angreifer Tippfehler ausnutzen. Stattdessen hatte wohl ein Administrator bei ASSA ABLOY den Namen der Intranet-Domain in einer VPN-Konfigurationsdatei falsch eingegeben und an die Mitarbeitenden verteilt. Diese griffen anschließend auf die nicht registrierte Domain „asssaabloy.net“ zu, um eine Verbindung zum VPN des Unternehmens herzustellen. Diese Domain hätte ein Angreifer registrieren können, um sich als legitimer VPN-Endpunkt der ASSA ABLOY Group auszugeben und den Datenverkehr der Mitarbeitenden abzufangen. Inzwischen wurde der Fehler behoben.

Weitere häufige Tippfehler betreffen MX-Einträge. So verwenden beispielsweise Domains mit E-Mail-Diensten, die bei GoDaddy gehostet werden, in der Regel zwei MX-Server: smtp.secureserver.net und mailstore1.secureserver.net. In mehreren Fällen wurde der erste Punkt ausgelassen. Tatsächlich wurde der Domainname smtpsecureserver.net im Mai 2021 von Unbekannten registriert und ist derzeit bei GoDaddy geparkt. Aufgrund von Schwärzungen im WHOIS bleibt unklar, wer hinter dieser Aktivität steckt. Auch bei ähnlichen Diensten treten solche Tippfehler in primären MX-Einträgen auf. Dann können Hacker alle für die Domain bestimmten E-Mails abfangen. Insgesamt identifizierte Talos bislang fast 150 verschiedene Domains, die auf diese Weise falsch konfiguriert waren.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Netzwerktechnik, IP-Kommunikation und UCC

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Beispiel für gezielte Attacken: Sea Turtle

Einer der wohl größten und berüchtigtsten DNS-Attacken fand vor wenigen Jahren unter dem Namen „Sea Turtle“ statt. Laut Analysen von Cisco Talos sind mindestens 40 Organisationen in 13 Ländern erfolgreich kompromittiert worden. Mit hoher Wahrscheinlichkeit führten staatlich unterstützte Hacker per DNS-Hijacking die Angriffe durch, um sich Zugang zu sensiblen Netzwerken und Systemen zu verschaffen.

Dabei gab es zwei Gruppen von Opfern. Die Primäropfer umfassten nationale Sicherheitsorganisationen, Außenministerien und bekannte Energieunternehmen. Als Sekundäropfer wurden Drittanbieter angegriffen, die Dienstleistungen für die Primäropfer erbringen. Zu den Sekundäropfern gehörten DNS-Registrierungsstellen, Telekommunikationsunternehmen und Internet Service Provider. Die Hacker konnten DNS-Hijacking bei ihren Primäropfern durchführen, indem sie zunächst die Drittanbieter attackierten. Dabei sind sie sogar für den ersten öffentlich bestätigten Angriff auf eine Organisation verantwortlich, die eine Root-Server-Zone verwaltet.

Die Akteure verschafften sich den ersten Zugang entweder durch Ausnutzung bekannter Schwachstellen oder durch das Versenden von Phishing-Mails. Dabei nutzten sie wohl mehrere Sicherheitslücken aus, um sich innerhalb einer betroffenen Organisation fortzubewegen. Typischerweise änderte der Täter die DNS-Einträge für das Zielunternehmen und leitete die Nutzer auf einen bösartigen DNS-Server um. Dieser lieferte vom Täter kontrollierte Antworten auf alle DNS-Anfragen. In einigen Fällen änderten die Hacker den TTL-Wert (Time-to-Live) auf eine Sekunde. Dies geschah wahrscheinlich, um das Risiko zu minimieren, dass irgendwelche Datensätze im DNS-Cache des Opfercomputers verbleiben.

Gab das Opfer seine Anmeldedaten auf der gefälschten Webseite ein, speicherte der Angreifer diese zur späteren Verwendung. Der einzige Hinweis für das Opfer war eine kurze Verzögerung zwischen der Eingabe der Daten und dem Zugriff auf den Dienst. Da der Hacker anschließend legitime Anmeldedaten für den Zugang zu den Konten verwendete, gab es für die Unternehmen so gut wie keine Anhaltspunkte für eine Entdeckung. Zusätzlich stahlen die Angreifer das SSL-Zertifikat der Organisation. Sie nutzten es dann auf von ihnen kontrollierten Servern, um weitere Man-in-the-Middle-Attacken durchzuführen und zusätzliche Anmeldedaten zu sammeln. Auf diese Weise konnten die Angreifer ihren Zugriff auf das Netzwerk des Zielunternehmens erweitern.

Tipps für mehr Sicherheit

Um sich vor DNS-Hijacking zu schützen, empfiehlt sich die Verwendung eines Registrierungssperrdienstes. Dann ist eine Out-of-Band-Nachricht erforderlich, bevor der DNS-Eintrag eines Unternehmens verändert werden darf. Zusätzlich sollte unbedingt eine Multi-Faktor-Authentifizierung für den Zugriff auf die DNS-Einträge des Unternehmens zum Einsatz kommen. Netzwerkadministratoren können die DNS-Einträge ihrer Domains überwachen, um Anomalien festzustellen. Bei Verdacht einer DNS-Attacke ist das Passwort netzwerkweit zurückzusetzen, vorzugsweise von einem Computer in einem vertrauenswürdigen Netzwerk aus. Zudem sind immer die neuesten Patches zu installieren, um bekannte Sicherheitslücken zu schließen.

Zudem nutzt moderne Malware sehr häufig maliziöse DNS-Einträge, um Verbindung mit Command & Control-Servern aufzubauen, Bestandteile nachzuladen, und Daten/Keys zu exfiltrieren.

Um dies abzuwenden, sowie zum Schutz vor fehlerhaften oder vergessenen Einträgen empfiehlt sich der Einsatz eines externen DNS-Schutzes wie zum Beispiel OpenDNS oder Umbrella. Dabei wird die globale Telemetrie von Cisco Talos auf Basis von ausgeklügelten KI-Methoden verwendet. Ein solcher Dienst verbindet die Funktion eines DNS-Resolvers mit der Absicherung und Überprüfung der angefragten Adressen. Zudem kann dieser Dienst um weitere Funktionen wie zum Beispiel Cloud-Firewall, sicheres Web-Gateway oder Cloud Access Security Brokers (CASB) zu einem sicheren Internet-Gateway (SIG) erweitert werden. Damit können Unternehmen die nötige Transparenz erreichen, um sowohl Fehlkonfigurationen als auch internetbasierte Angriffe zu entdecken.

In Bezug auf DNS sollten in der Standardkonfiguration alle Anfragen protokolliert werden. Dann können Administratoren die Protokolle und insbesondere den Response-Code prüfen. Dieser zeigt, wie eine bestimmte DNS-Anfrage bearbeitet wurde. War eine DNS-Anfrage erfolgreich, ist zum Beispiel in Umbrella der Response-Code „NOERROR“ zu sehen. Durch die Suche nach DNS-Anfragen, die andere Response-Codes – etwa „NXDOMAIN“ – zurückgeben, können Administratoren mögliche Fehlkonfigurationen wie die oben beschriebenen identifizieren.

Fazit

Das Domain Name System ist einer der Standarddienste im Internet. Daher erhält der Service im Alltag nur wenig Aufmerksamkeit. Trotzdem sollten Unternehmen regelmäßig die Einträge per DNS-Monitoring prüfen. Denn schon kleine Fehler oder veraltete Angaben können Einfallstore für Cyberkriminelle öffnen und zu großen Schäden führen.

Über den Autor

Holger Unterbrink ist Security Researcher bei Cisco Talos.

(ID:48082868)