Vergessen Sie bei der Planung Ihrer Sicherheitsstrategie nicht Ihr DNS

Vishnu Borra , Travis Haglund

ground-up view of city buildings

 

Ob bewusst oder unbewusst – jede Organisation ist vom Domain-Name-System (DNS) abhängig. DNS ermöglicht Menschen, Ihre Webseite zu finden, in Ihrer E-Commerce-App einzukaufen und Ihnen E-Mails zu senden. Es leistet somit nicht nur für Ihr Geschäft, sondern für das gesamte Internet einen entscheidenden Beitrag.

Daher ist es auch verständlich, dass DNS-Server zu einem beliebten Ziel für Cyberkriminelle geworden sind:

  • 82 % aller Unternehmen fielen im letzten Jahr einem DNS-Angriff zum Opfer.
  • 63 % aller Unternehmen hatten aufgrund eines DNS-Angriffs mit Ausfallzeiten auf ihren Anwendungen zu kämpfen.
  • In den Jahren 2017 und 2018 wurde weitverbreitetes DNS-Hijacking gemeldet, das auf mehrere Branchen in 12 verschiedenen Ländern abzielte.
  • 80 % der Malware greift auf DNS zurück, um eine Verbindung zu einem Command-and-Control-Server (C2) zum Zwecke des Datendiebstahls und der Verbreitung von Malware herzustellen.

 

Falls Ihr Unternehmen lediglich Fully Qualified Domain Names (FQDNs) auf die schwarze Liste setzt, um DNS-basierte Angriffe zu unterbinden, sollten Sie weiterlesen. Böswillige Akteure und Angriffsvektoren werden immer ausgeklügelter – Ihre Security sollte es also ebenso sein.

 

Geläufige DNS-Angriffsmethoden

Ihre DNS-Server an sich sind nicht immer das Ziel DNS-basierter Angriffe. Stattdessen wird häufig die Funktionalität des DNS-Protokolls zweckentfremdet, sodass der Angreifer sensible Daten aus Ihrer Umgebung herausschleusen kann.

Wenn ein Benutzer Ihres Netzwerks versehentlich eine bösartige Website besucht, wird in den meisten Fällen eine Malware auf dem verbundenen Rechner installiert. Sobald dieser Rechner infiziert ist, nutzt er das DNS, um eine Verbindung zum C2-Server herzustellen und auf Basis weiterer Anweisungen zu agieren. Hat ein Angreifer in Ihrer Umgebung Fuß gefasst, ist das Potenzial der Verbreitung von Malware deutlich erhöht.

Weitere geläufige DNS-Angriffsmethoden lauten:

  • Domain-Hijacking: Dies kann u. a. unautorisierte Änderungen an den DNS-Datensätzen und/oder Domain-Registraren umfassen, die folglich den Datenverkehr vom Originalserver zu einem neuen (meist bösartigen) Ziel weiterleiten.
  • DNS-Flood-Angriff: Hierbei handelt es sich um ein Distributed Denial-of-Service (DDoS), der die Verfügbarkeit von DNS-Servern beeinträchtigt.
  • DNS-Spoofing (Cache Poisoning): Angreifer nutzen Schwachstellen im System und versuchen, bösartige Daten in den Cache eines DNS-Resolvers zu schleusen.
  • DNS-Tunneling: Sobald ein Rechner infiziert ist, missbraucht die Malware das DNS, um sensible Daten zu entwenden und Anweisungen vom C2-Server des Angreifers zu erhalten.

 

Ein kürzlich von SecureList gemeldeter DNS-Angriff verdeutlicht das Ausmaß der Herausforderung:

„Mitte Mai [2020] haben israelische Forscher von einer neuen Schwachstelle in DNS-Servern berichtet, die im DNS-Delegierungsprozess lauert. Dieses Schema zur Ausnutzung der Sicherheitslücke wurde als ‚NXNSAttack‘ bezeichnet. Der Hacker schickt innerhalb der autoritativen Zone seines eigenen bösartigen Angriffsservers eine Anfrage an mehrere Subdomains eines legitimen rekursiven DNS-Servers. Der schadhafte Server delegiert daraufhin die Anfrage an eine große Anzahl falscher DNS-Server innerhalb der Ziel-Domain, ohne deren IP-Adressen anzugeben. Infolgedessen stellt der legitime DNS-Server Anfragen an alle vorgeschlagenen Subdomains, woraufhin der Datenverkehr um das 1620‑Fache ansteigt.“

 

Warum ist DNS so angreifbar?

Die Funktionalität von DNS ist von entscheidender Bedeutung, birgt aber gleichzeitig viele Risiken für Sicherheitslücken:

  • Internetzugang ist für DNS rund um die Uhr erforderlich. Deswegen wird in der Regel versucht, jegliche Unterbrechungen der DNS-Betriebsabläufe zu vermeiden, selbst während Sicherheitskontrollen.
  • Die meisten DNS-Anfragen sind nicht eingeschränkt und können daher Security-Geräte passieren. Dadurch entsteht eine potenzielle Angriffsfläche.
  • Manche Organisationen versuchen, DNS-Angriffe durch das Blacklisting „schlechter Domain-Namen“ abzuwehren. Diese Beschränkungen umgehen Angreifer jedoch durch die Verwendung von Domain Generation Algorithms (DGA). Diese ermöglichen den Angreifern, Tausende von Domains zu erstellen und zu rotieren, um die C2 zwischen dem Kunden und dem Server intakt zu halten, selbst wenn einige der Domains blockiert sind.
  • Eine stetig wachsende Anzahl bösartiger Domains manuell auf eine schwarze Liste zu setzen, geht mit einem erheblichen Verwaltungsaufwand einher.

 

So schützen Sie ein System vor DNS-Angriffen

Um dieser wachsenden Bedrohung entgegenzuwirken, hat Palo Alto Networks eine neue Funktion eingeführt: die DNS Security. Diese wird in Kombination mit den Funktionen der über die „Threat Prevention“-Lizenz bereitgestellten Anti-Spyware verwendet. Die neue Funktion nutzt einen Cloud-Service, der in Echtzeit aus verschiedenen Feeds aktualisiert wird. So kann der Datenverkehr von bereits bekannten bösartigen Domains erkannt werden, aber auch von jenen Domains, die durch einen Domain Generation Algorithm (DGA Domains) erstellt wurden.

Die DNS-Security-Funktion übernimmt wichtige Informationen über bekannte bösartige Domains aus verschiedenen, vertrauenswürdigen Threat Intelligence Feeds. Diese Informationen werden dann in Kombination mit Machine Learning und Predictive Analysis genutzt, um den Zugriff auf von DGA erstellte Domains dynamisch zu identifizieren und zu blockieren.

Sobald ein Client eine Anfrage an eine bösartige Domain stellt, fängt die Next-Generation Firewall von Palo Alto (mit konfigurierter DNS Security) den Datenverkehr ab und vergleicht die DNS-Anfrage mit den Informationen in der Cloud-Datenbank. Wenn die Anfrage in der Cloud-Datenbank als schadhaft angezeigt wird oder der Verdacht auf DNS-Tunneling besteht, kann sie automatisch gelöscht werden. Dadurch wird einerseits die Verbindung unterbrochen, andererseits erfährt ein Administrator, dass sich ein Gerät im Netzwerk befindet, das möglicherweise zusätzliche Überprüfung erfordert.

 

Verlassen Sie sich auf unsere Experten

Mithilfe unseres kostenlosen DNS-Verwaltungsservice (in jedem Cloud Account enthalten) können wir Ihnen dabei helfen, die Kontrolle über Ihr DNS zu übernehmen. Erfahren Sie mehr über DNS Services bei Rackspace Technology und unsere gesamte Palette an Sicherheitslösungen.

 

Schützen Sie Ihr Unternehmen mit Unterstützung von unseren Experten.