Cyberkriminelle missbrauchen DNS-Systeme

Schwachstellen im Domain Name System (DNS)

| Autor / Redakteur: Frank Ruge / Peter Schmitz

Hacker haben das DNS für sich entdeckt, um mit dem Domain Name System als Transportweg in Systeme einzudringen.
Hacker haben das DNS für sich entdeckt, um mit dem Domain Name System als Transportweg in Systeme einzudringen. (Bild: Pixabay / CC0)

So praktisch und unverzichtbar das Domain Name System (DNS) ist, so gefährdet ist es inzwischen. Da das DNS oft weitgehend unkontrolliert Firewalls passiert, wird es bei Hackern zunehmend beliebter. Cyberkriminelle missbrauchen das altgediente System heute immer öfter als Transportmittel für Malware oder als Zugang ins Unternehmensnetzwerk.

Ohne das Domain Name System – kurz DNS – wäre jede Online-Aktivität eine beschwerliche Angelegenheit. Denn das DNS sorgt dafür, dass Eingaben von URLs in die deutlich komplizierteren, „Router-tauglichen“ IP-Adressen umgewandelt werden – und mit einer URL die richtige Seite angesteuert wird. Ohne DNS müsste der User das selbst übernehmen und sich komplexe Zahlen- und Nummerncodes zum Aufruf einer Webseite merken: anstrengend und nicht wirklich praktikabel.

Doch so praktisch das DNS ist, so gefährdet ist es inzwischen. Das DNS wurde Anfang der 80er Jahre konzipiert unter der Annahme, dass Menschen und Unternehmen auch tatsächlich diejenigen sind, für die sie sich ausgeben. Zu dieser Zeit konnte man nicht vorhersehen, dass die Entwicklung des Internets zu einem zentralen Angelpunkt unseres alltäglichen Lebens gleichzeitig auch die Grundlage für diverse kriminelle Machenschaften schaffte. Die Problematik liegt nicht am DNS an sich, sondern an seiner offenen und verteilten Architektur. Denn Cyberkriminelle missbrauchen das altgediente System heute immer öfter als Schlupfloch für ihre Aktivitäten. Ob Abgreifen vertraulicher Unternehmensdaten (Data Exfiltration), Einschleusen von Malware in kleingestückelten Paketen (Data Infiltration) oder der Bau eigener Tunnel, um den Datentransport noch komfortabler zu machen: Hacker haben das DNS für sich entdeckt, um mit dem Domain Name System als Transportweg in Systeme einzudringen, dort Daten zu verschlüsseln, Informationen abzuzapfen – oder sie einfach zu zerstören.

So funktioniert eine DNS-basierte Security-Strategie

Netzwerk-Absicherung mit Fokus auf das Domain Name System

So funktioniert eine DNS-basierte Security-Strategie

14.08.18 - Das Domain Name System (DNS) ist ein zentraler Punkt jedes Netzwerks und essentiell für die Kommunikation über das Internet. Längst haben Cyber-Kriminelle das DNS als Schwachstelle für Attacken ausgemacht. Doch besser als das DNS bloß gegen Angriffe zu sichern ist es, das System aktiv zur Verteidigung einzusetzen! lesen

Caches werden infiziert, Anfragen landen auf Fake-Seiten

Hintergrund: Das DNS arbeitet wie eine Art Inhaltsverzeichnis und verwaltet DNS-Zonen. Unter diesen verdienen die Top-Level-Domains besondere Aufmerksamkeit: sie liegen auf Root-Servern. Zu diesen kommen zwei Arten von Name-Servern: autoritative (hier liegen die gesamten Zonen-Informationen ab) und rekursive, die sich DNS-Anfragen und -Antworten befristet merken.

DNS-Name-Server verarbeiten Unmengen von Anfragen: Wird eine URL in einen Browser getippt, landet die Anfrage bei einem solchen Name-Server, der dann – ähnlich einem Telefonbuch – den richtigen „Anschluss“ ausfindig macht. Genau das ist für Hacker so attraktiv. Denn letztlich ist jede mit dem Web verbundene IP-Adresse erreichbar. Via DNS können ohne großen Aufwand Caches infiziert, Anfragen mit Fake-Seiten verbunden werden oder dauerhafte Tunnel zum häppchenweisen Datentransport unbemerkt gebaut werden.

Risiko geheime Tunnel

Bei DNS Tunneling werden die Anfragen und Antwortprotokolle genutzt, um Malware einzuschleusen und Daten abzugreifen. Dies funktioniert, weil das DNS als solches nicht blockiert werden kann. Schon in den 1990er-Jahren nutzten findige Hacker das DNS, um Netzwerkbeschränkungen zu umgehen. Hotels oder Flughäfen leiten den Browser oftmals zu einer „Begrüßungsseite“ und fordern Geld für die Internet-Nutzung. Um dies zu umgehen, bauten gewiefte IT-Anwender einfach einen DNS-Tunnel zum heimischen Name-Server auf und surften darüber durch das weltweite Web. Die Performance litt zwar durch diesen Umweg deutlich, aber wenigstens war der Zugriff auf das Internet kostenlos. Das Einrichten dieses eleganten Umwegs erwies sich schnell als Kinderspiel, denn hilfreiche Software-Toolkits, wie Iodine, standen bald im Netz zum Download bereit. Natürlich kamen schnell auch Kriminelle mit weniger harmlosen Absichten auf die Idee, diese Methode zu nutzen, um in Unternehmens- oder Regierungsnetzwerke einzudringen.

Zwar schützen normalerweise Firewalls sowie Antivirenprogramme die Unternehmensnetze, allerdings bleibt das DNS bei der Prüfung oft weitgehend außen vor. Hacker reiben sich daher die Hände und transportieren Malware auf dem Rücken des DNS, das unbehelligt die Security-Tools passiert, in sensible Bereiche des Netzwerks. Solche Fälle häufen sich drastisch, laut einer aktuellen Studie wurde inzwischen jedes vierte Unternehmen schon mal selbst Opfer eines DNS-basierten Angriffs.

Mit einem Master-Controller werden Geräte für DDoS-Attacken gesteuert

Schadsoftware, die das DNS ausnutzt, ist in der Regel so gebaut, dass sie auf Devices und Servern lange inkognito bleibt. Werden Daten abgegriffen oder gefährliche Dateien eingeschleust, sind die Pakete in so kleine Schnipsel zerlegt, dass sie im Datenfluss kaum auffallen. Sind die letzten Einzelteile angekommen, setzen sich zum Beispiel Schadprogramme an ihrem Ziel selbst wieder zusammen und beginnen, im Netzwerk zu agieren. Handelt es sich um Backdoor-Malware, wird sie von einem Master Controller gesteuert, der Zugriff auf mehrere betroffene Geräte hat und in aller Stille die Kontrolle übernimmt – um etwa Spam-Mails von unterschiedlichen Adressen aus zu senden oder ein Netzwerk zum Start eines DDoS-Angriffs aufzubauen.

Dies sind genug Gründe, um das Domain Name System genauer in den Blick zu nehmen. Die gute Nachricht ist: Ein unkontrolliertes DNS birgt große Risiken, ein kontrolliertes DNS hingegen ist genau der richtige Schritt für umfassende IT-Sicherheit. Denn da jede Form der Online-Kommunikation mit Domain-Namen arbeitet, ist das DNS ein besonders exponierter Punkt, an dem schädliche Dateien und ungewollter Datenverkehr zu identifizieren sind. Threat Intelligence Feeds und DNS Response Policy Zones (RPZ) helfen dabei, den Informationsaustausch via Domain Name System zu prüfen – und bösartige Anfragen gar nicht erst aufzulösen. Der Datenpool des Infoblox ActiveTrust Feed beispielsweise kennt derzeit über 4,5 Millionen schädliche Domain-Names, deren Anfragen umgehend isoliert und nicht bis zum angefragten Server durchgelassen werden.

Frank Ruge.
Frank Ruge. (Bild: Infoblox)

DNS-Security On-Premise oder in der Cloud

Um sein Netzwerk vor DNS-basierten Übergriffen zu schützen, ist nicht unbedingt eine teure On-Premise-Installation entsprechender Software nötig. Infoblox zum Beispiel bietet DNS-Security auch als Cloud-Angebot – flexibel skalierbar und auf die individuellen Anforderungen zugeschnitten. Besonders interessant dürfte die DNS-Security als Cloud-Service für kleine oder mittelständische Unternehmen mit vielen Außenstellen oder Außendienstlern sein, wo Mobilität eine große Rolle spielt.

Security-Verantwortliche sollten unbedingt ihre Sicherheitsstrategie überdenken, und nicht nur ihre Haustür mit allen verfügbaren Mitteln schützen, verstärken und bewachen, sondern auch die Hintertür, das DNS – welche bisher oft nicht einmal verriegelt war.

Über den Autor

Frank Ruge ist Director Sales Central Europe bei Infoblox.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45568107 / Allgemein)