igor - Fotolia

Neue Angriffsmethoden missbrauchen DNS-Dienste

Sicherheitsforscher haben einen neuen Angriff entdeckt, der DNS-Dienste dazu nutzt, heimlich Daten aus einem Unternehmen zu extrahieren. Wie lassen sich diese Attacken verhindern?

Der Domain Name Service (DNS) ist heute eines der wichtigsten Netzwerkprotokolle. DNS wird so häufig eingesetzt, dass es praktisch jeder Computer nutzt, während er eingeschaltet ist.

Die grundlegende Funktion ist dabei vergleichsweise simpel. Unter der Oberfläche ist das DNS-System jedoch sehr komplex. Sicherheitsspezialisten können aus ihm viele Informationen ziehen und sehen, wie ein Netzwerk funktioniert. Aber es gibt auch viele Angriffsmethoden, die DNS-Server missbrauchen und zu ihrem Vorteil verwenden.

Wie das DNS-System funktioniert

DNS ist ein System, das ähnlich wie das Nachschlagen einer Telefonnummer in einem Telefonbuch funktioniert. Ohne dem Domain Name Service würde das heutige Internet nicht existieren. Zudem ist es die Basis für viele andere Protokolle. Das DNS-System ermöglicht es Administratoren, Anfragen an einen Server an eine andere Maschine weiterzuleiten, indem ein DNS-Eintrag so geändert wird, dass er auf eine andere IP-Adresse zeigt.

Das DNS-System wird auch von Malware genutzt, um mit C&C-Servern (Command and Control) Kontakt aufzunehmen. Nicht selten findet sich in einer der Konfigurationsdateien des Schädlings ein Domain-Name, mit dem er dann versucht, Kontakt aufzunehmen. Es wurden sogar Fälle beobachtet, bei denen ein Algorithmus verwendet wurde, um eine neue Domain-Adresse zu errechnen, über die dann der C&C-Server erreichbar war. Dank dem DNS-System sind Zugriffe auf Daten und auf IP-Adressen sowie A-Records bei IPv4- und AAAA-Records bei IPv6-Adressen möglich. Sie werden auch für den Austausch von E-Mails benötigt.

Missbrauch von DNS-TXT-Anfragen

DNS war deswegen in der Vergangenheit auch immer wieder ein Thema in der Security-Community. Insbesondere die Nutzung von DNS-Servern in DDoS-Attacken (Distributed Denial of Service) wurde heftig diskutiert.

Ein weiterer Bereich, der derzeit mehr Aufmerksamkeit bekommt, ist die Möglichkeit, DNS-Dienste zum heimlichen Extrahieren von Daten aus Unternehmen zu nutzen. So konnten Mitarbeiter von Cisco Talos eine Attacke beobachten, bei der DNS-TXT-Anfragen dazu verwendet wurden, Kontakt mit einem C&C-Server  aufzunehmen.

Der Angriff begann mit einer Phishing-Mail, an die ein verseuchtes Word-Dokument angehängt war. Dieses führte auf dem Zielrechner ein Makro mit mehreren Powershell-Kommandos aus. Die Malware nutzt dann so genannte TXT Resource Records, um mit dem Steuer-Server Kontakt aufzunehmen und um Kommandos zu erhalten. Ausgespähte Daten werden anschließend wieder zurück an den C&C-Server geschickt. Ein TXT Resource Record ist ein frei definierbarer Text. Um im Netzwerk nicht aufzufallen, verschlüsselt die Malware zudem ihre Kommandos.

Schutzmaßnahmen gegen DNS-TXT-Angriffe

Unternehmen können im Prinzip auf dieselben Maßnahmen zum Schutz vor DNS-TXT-Angriffen zurückgreifen, die auch eingesetzt werden, um DNS-Dienste nicht mehr als Tunnel zur Extraktion von Daten verwenden zu können. Auch die Log-Dateien, die ein DNS-Server anlegt, können verwendet werden, um möglicherweise gefährliche Domains und die lokalen IP-Adressen zu identifizieren, die bei einer DNS-Anfrage kontaktiert werden.

Talos hat bereits eine Liste gefährlicher Adressen veröffentlicht, vor denen sich Unternehmen in Acht nehmen sollten. Die lokale IP-Adresse ist in der Regel der Rechner, der von der Malware verseucht wurde. Dieses System sollte einer genauen Analyse durch ein Security-Team unterzogen werden. Nachdem in einem Unternehmen verstanden wurde, dass auch DNS-Dienste missbräuchlich von Eindringlingen verwendet werden können, lassen sich immer wieder auch noch weitere infizierte Computer finden.

Die Sicherheitsforscher empfehlen in ihrem Bericht mehrere Schritte, um die Gefahr durch DNS-Angriffe zu reduzieren. Dazu gehören beispielsweise der Einsatz eines speziellen Dienstes zur Überwachung der DNS-Anfragen, Tools gegen Phishing-Angriffe und zur Überwachung des Netzwerks, die Nutzung von Diensten zur Threat Intelligence und die Installation aktueller Antivirenprodukte auf den Endpoints. Talos hat außerdem einen Regelsatz für die IDS- und IPS-Lösung Snort veröffentlicht, mit der sich die Malware im eigenen Netzwerk aufspüren lässt.

Besonders interessant an DNS als Basis für Sicherheitsmaßnahmen ist, dass dafür keine Veränderungen an den Clients vorgenommen werden müssen. Außerdem lassen sie sich im gesamten Netzwerk einsetzen. So kann ein Unternehmen zum Beispiel nur noch die Nutzung von freigegebenen DNS-Servern erlauben. Dann ist sichergestellt, dass die DNS-Dienste nicht nur sicher genutzt, sondern dass sie auch überwacht werden können.

Fazit

DNS ist eine essentielle und unverzichtbare Technik für jedes Unternehmen. Der Dienst ist außerdem eine wertvolle Quelle, wenn es um den Schutz des eigenen Netzwerks geht. DNS-Daten können für Threat Intelligence, also zur Erkennung von Bedrohungen, verwendet werden. Mit DNS-Diensten können zudem mit Malware verseuchte Rechner automatisch so umgeleitet werden, so dass der mögliche Schaden minimiert wird.

Darüber hinaus können Unternehmen neue Security-Werkzeuge einsetzen, um ihre DNS-Nutzung zu überwachen, ohne dazu größere Änderungen an ihrem Netzwerk vornehmen zu müssen. Das macht sie besonders interessant für einen Einsatz in Firmennetzen.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Hintertür für Hacker: Das Domain Name System

DNS-Infrastrukturen als Säule der IT-Sicherheit

DNS-Sicherheit in SDN-Umgebungen

Artikel wurde zuletzt im Oktober 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Network-Intrusion-Detection und -Analyse

Dem Gespräch beitreten

1 Kommentar

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

Sehr guter Artikel der auf die stark wachsende Schwachstelle DNS als Kommunikationskanal für C&C hinweist. Eine weiterer Use-Case ist allerdings auch der Transport von Daten (Datenexfiltration) aus Unternehmensnetzen über DNS. 
Hier können Blacklists von bekannten Domänen nicht hundertprozentig schützen. Hier geht es um die Echtzeit-Analyse von Verkehrsprofilen (grosse Pakete, Anzahl der Pakete, Inhalte der Pakete). Infoblox kann hier in Netzen als auch  in der Cloud bestehende DNS-Infrastrukturen absichern. Zum Testen, ob auch Ihre DNS-Infrastruktur anfällig ist, empfehlen wir ein kleines tool:
 dex.infoblox.com
Abbrechen

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close