Kampf den kriminellen Strukturen in der Cloud

DNS Security & Threat Intelligence kombiniert

| Autor / Redakteur: Claudia Johnson / Andreas Donner

Angriffe über das Domain Name System (DNS) werden immer populärer.
Angriffe über das Domain Name System (DNS) werden immer populärer. (© daliu - Fotolia)

DDoS-Angriffe können mithilfe der unter­neh­mens­ei­ge­nen DNS-Infrastruktur stattfinden – und sind im Prinzip recht einfach umzusetzen. Jeder dritte DDoS-Angriff findet mittlerweile über missbrauchte Cloud-Server statt. Mit einer Kombination aus Threat Intelligence und DNS Security kann man jedoch auch bei dieser veränderten Bedrohungslage für mehr Sicherheit im Netzwerk sorgen.

Anfang 2016 lag die Webseite der britischen Bank HSBC lahm: für ganze 48 Stunden konnten die Bankkunden nicht auf ihre Online-Accounts zugreifen. Ein Fiasko, ausgerechnet zwei Tage bevor die Abgabefrist für die Steuererklärung ablief. Dahinter steckte ein spektakulärer DDos-Angriff (Distributed Denial of Service). Dabei wird ein Server von vielen verschiedenen Adressen im Netz aus innerhalb kürzester Zeit mit sinnlosen Anfragen überhäuft, bis er zusammenbricht.

DDos-Angriffe häufen sich in letzter Zeit und werden in Methodik und Machart zunehmend raffinierter. So wurde kürzlich die Website eines Journalisten von einem Botnetz bombardiert. Womöglich ein Racheakt, denn der Journalist hatte zuvor einen Artikel über DDoS-Dealer im Darknet geschrieben. Das Besondere an diesem Angriff: das riesige Botnetz bestand aus gekaperten, vernetzten Haushaltsgeräten, wie Routern, Überwachungskameras und digitalen Videorekordern. Außerdem war dieser Angriff weitaus größer als bisher entdeckte DDoS-Angriffe, und das ohne „Amplifizierung“. Ein Angriff mit Potenzial, denn das stetig wachsende Internet der Dinge ist kaum gegen Hackerangriffe gesichert und lässt sich daher leicht von außen infizieren und missbrauchen, ohne dass es die Besitzer merken.

Angriffe über das Domain Name System (DNS)

Doch wie funktionieren DDoS-Angriffe? DDoS-Angriffe können mithilfe der unternehmenseigenen DNS-Infrastruktur stattfinden – und sind im Prinzip recht einfach umzusetzen. So versenden Angreifer Anfragen an Name-Server im Internet, die wiederum Antworten zurücksenden. Dafür verwenden sie selbstverständlich nicht ihre eigene IP-Adresse, sondern die ihres Ziels. Da DNS-Anfragen verbindungslos über UDP (User Datagram Protocol) gesendet werden, sind sie sehr leicht zu fälschen. Bildlich gesprochen: Den Absender einer DNS-Anfrage zu verschleiern, ist ebenso einfach, wie einen falschen Absender auf eine Postkarte zu schreiben.

Diese Vorgehensweise lohnt sich allerdings kaum, wenn lediglich eine einzelne Anfrage verschickt wird – denn das würde noch lange nicht ausreichen, um ein Ziel tatsächlich zu überlasten. Möchte der Angreifer wirklich großen Schaden anrichten, muss er sein Sendevolumen vergrößern, damit auch ein entsprechend großes Antwortvolumen zurückkommt. Dieses Antwortvolumen kann man mit Hilfe von Amplifizierung noch erheblich erhöhen. Das DNS ist von Natur aus speziell über Amplifizierung angreifbar. Bezogen auf das Beispiel von oben, hätte die ohnehin massive Attacke mit Hilfe einer DNS-Amplifizierung um das 10 bis 40-fache größer sein können.

Die kriminelle Cloud

Auch Hacker und Botnetz-Betreiber nutzen heutzutage die Vorzüge von Cloud Computing. Denn die Cloud bietet vielfältige Möglichkeiten, kriminellen Machenschaften zu beschleunigen und zu verdecken. Genau wie in jeder anderen Organisation auch, gibt es in kriminellen Organisationen verschiedene Rollen, die zusammenspielen, um erfolgreiche Attacken durchzuführen:

Der Administrator der kriminellen Organisation setzt eine Cloud-Umgebung auf und verwaltet diese, um die Spuren der Cybergang zu verwischen. Ein Programmierer oder Entwickler arbeitet daran, neue Malware maßgeschneidert für Sicherheitslücken und Schwachstellen herkömmlicher Systeme zu erstellen. Anschließend wird die Schadsoftware über Spam, Downloads oder Drive-by-Infektion verbreitet. Die Kontrollzentrale des Botnetzes verwaltet infizierte Geräte und nutzt diese für weitere Maßnahmen. Der Bot-Herder schließlich steuert und koordiniert eine große Anzahl von infizierten Computern und nutzt sie zur Infizierung weiterer Geräte, um einen Advanced Persistent Threat zu verschleiern, oder um eine DDoS-Attacke durchzuführen. All diese Rollen bewegen sich in einem virtuellen Raum, der kriminellen Cloud.

Die Kommunikation der verschiedenen Verantwortlichen innerhalb der Cybergang funktioniert über das Domain Name System. Über das DNS erreichen die Cyberkriminellen ihre Opfer und infizieren diese, daneben werden auch neue Angriffsziele über das DNS identifiziert.

Zunahme von DDos-Angriffen über die Cloud

Jeder dritte DDoS-Angriff findet mittlerweile über missbrauchte Cloud-Server statt – ein massiver Anstieg innerhalb der letzten sechs Monate. Über zwei Wege verschaffen sich DDoS-Angreifer Zugang zu den Ressourcen der Cloud: Die klassische Vorgehensweise ist es, Botnetze aus gehackten Privatrechnern oder Firmen-Servern in der Cloud aufzubauen. Die zweite Möglichkeit besteht darin, unter falschem Namen und mit gestohlenen Kreditkartendaten Serverkapazitäten in der Cloud anzumieten.

Anbieter wie AWS, Microsoft Azure und Google Cloud bieten günstige Rechenleistung und eine schnelle Verbindung. Auf dem Schwarzmarkt und im Darknet erhält man gehackte Kreditkartendaten mit Name, Datum und Rechnungsadresse in den USA für nur wenige Dollar. Mittels eines vorgefertigten Scripts gelingt es den Kriminellen dann, den Server innerhalb von Minuten in einen Bot zu verwandeln.

Schwachpunkt Open DNS Resolver

Open DNS Resolver werden von kriminellen Organisationen genutzt, um ihre Opfer zu attackieren. In den meisten Unternehmensumgebungen befinden sich die DNS Resolver im internen Netzwerk und dienen zur Unterstützung rekursiver DNS-Abfragen für interne Hosts.

Jedoch sind die heutigen Netze meist nicht eindeutig nach außen abgegrenzt, um sämtliche Ressourcen sicher innerhalb der IT-Umgebung anzusiedeln und durch eine Firewall zu schützen. Moderne Netzwerke öffnen sich zunehmend nach außen, sodass mobile Mitarbeiter im Home Office, Partner und Kunden die Dienste im Rechenzentrum erreichen können. Cloud-basierte Dienste stellen zudem Dienstleistungen virtuell bereit, die traditionell auf den Unternehmens-Servern gehostet wurden. Daher bedarf es spezieller Sicherheitsmechanismen, um moderne Netzwerke abzusichern.

Was ist ein Open DNS bzw. rekursiver DNS Resolver?

Unter einem Open DNS Resolver bzw. einem rekursiver DNS Resolver versteht man eine Art Übersetzer, der auf Anfrage von Computern eine URL-Adresse, z.B. http://www.ip-insider.de/ in eine IP-Adresse übersetzt. Einen solchen Name-Server benötigt jeder Rechner, um im Internet kommunizieren zu können. Ein Open DNS Resolver bietet diesen Dienst in nicht nur den Computern bzw. Geräten im eigenen Netzwerk an, sondern ist auch von außerhalb des eigenen Netzwerkes zugänglich. Ein Open DNS Resolver kann u.a. eine installierte Software, Firewall oder auch der Router sein.

Grundsätzlich stellt dies kein Problem dar, dennoch lässt sich diese Funktion auch problemlos für kriminelle Zwecke nutzen. Wie bei dem Schneeballsystem können sich Open DNS Resolver bei einem DDoS-Angriff miteinander verbinden und somit sehr große Datenmenge erzeugen (Amplifizierung). Diese Datenmengen zwingen ihre Opfer in die Knie und verschleiern zudem die Quelle des Angreifers.

Viele Unternehmen wissen nicht, wie groß ihre reguläre Anfragemenge ist. So merken sie auch nicht, wenn der Normalfall deutlich überschritten wird und sie angegriffen werden. Dafür gibt es die DNS-Software BIND, mit der diesbezügliche Statistiken abgerufen werden können. Administratoren können damit genau analysieren, wie viele Anfragen durchschnittlich über die eigenen IP-Adressen gestellt werden – und auch ungewöhnliche Ausschläge erkennen, die durch einen DDoS-Angriff hervorgerufen wurden.

Für autoritative Name-Server gibt es das so genannte Response Rate Limiting (RRL), das in die BIND Name-Server integriert ist. Dieses macht es Angreifern schwer, Anfragen zu verstärken, denn die Anzahl der Antworten, die an eine einzige IP-Adresse geschickt werden, wird gedeckelt.

Kombination aus Threat Intelligence und DNS Security für mehr Sicherheit

Threat Intelligence bietet Analysetools, die Daten sammeln, korrelieren und auswerten, frühzeitig warnen und Erkenntnisse liefern, die zur Reduzierung von Risiken verwertet werden können. Daten werden nach Kriterien untersucht, die durch ihre Umgebung und ihre kritischen Datenressourcen vorgegeben sind. Auf Basis dieser Analyse wird eine Prognose zu wahrscheinlichen Bedrohungsszenarien erstellt, sodass Unternehmen proaktiv reagieren, Sicherheitslücken beseitigen und ihr Sicherheitskonzept anpassen können.

Threat Intelligence ist ein erprobtes Werkzeug, um den nächsten Schachzug von Cyberkriminellen zu identifizieren, diesen abzuschwächen, zu unterbinden und ggf. sogar vorauszusagen. Threat-Intelligence-Dienste alleine können zwar proaktiv vor Bedrohungen warnen, diese Warnungen aber nicht in entsprechende Maßnahmen übersetzen. Überwachungssysteme warnen vor bösartigen Aktivitäten innerhalb eines Netzwerks, geben aber keinen Hinweis, wie infizierte Geräte, Anwenderinformationen und andere Metadaten gefunden und bereinigt werden können.

Hier empfiehlt es sich auf die Zusammenarbeit verschiedener Hersteller und auf die Kombination aus Threat Intelligence, Netzwerk-Kontextdaten sowie DNS Security zu setzen, um das Unternehmensnetzwerk richtig abzusichern. So bekommen Kunden kontextsensitive Sicherheitsinformationen und zwar auf Basis realer Daten aus der eigenen IT-Infrastruktur des Unternehmens. So lassen sich Entscheidungen rund um das Thema Sicherheit viel besser und informierter treffen. Vorteil ist auch: Die Security-Architektur bleibt bestehen und wird durch DNS-Security und Threat Intelligence effizienter, genauer und effektiver.

Claudia Johnson.
Claudia Johnson. (Bild: Infoblox)

Die Vorteile von Cloud Computing wie Flexibilität, Skalierbarkeit, Kostenersparnis und Komplexitätsreduktion überzeugen nicht nur Unternehmen, sondern auch Kriminelle. Doch gleichzeitig gibt es noch zahlreiche Schwachstellen, da viele Schnittstellen benutzt werden, die Daten auf verschiedene Server und Anbieter verteilt sind und es eine Vielzahl von Angriffspunkten gibt. Daher gilt es, Sicherheitsmaßnahmen sorgfältig aufeinander abzustimmen, um auch im virtuellen Raum für Sicherheit zu sorgen.

Über die Autorin

Claudia Johnson ist Senior Pre-Sales Security Specialist bei Infoblox EMEA.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44332666 / Bedrohungen und Attacken)