leungchopan - Fotolia

F

Wie können sich Unternehmen gegen Malware schützen, die DNS-Tunnel nutzt?

Erfahren Sie, wie Malware-Attacken DNS-Tunnel für die Daten Exfiltration nutzen und wie man sich gegen diese erweiterte Malware-Technik verteidigt.

Malware-Programmierer nutzen DNS-Anfragen zur Daten-Exfiltration. Wie funktionieren Angriffe mit DNS-Tunneln und was sind die besten Möglichkeiten, um sich davor zu schützen?

Fortgeschrittene Angreifer nutzen unter anderem ICMP- und DNS-Tunnel seit vielen Jahren. Aufgrund ihrer Erfolge haben viele andere Angreifer die Technik ebenfalls übernommen, was zu steigender Popularität führte. DNS wird es in der Regel erlaubt, eine ausgehende Verbindung zum Internet herzustellen. Das erfolgt ohne Filterung, so dass Angreifer die Technik nutzen können, um Daten aus einem kompromittiert Netzwerke zu tunneln.

DNS-Tunnel arbeiten auf einem bereits infizierten Computer, indem kleinen Datenmengen in einen bösartigen DNS-Namen kodiert werden. Die infizierten Computer können einen DNS-Lookup auf die böswillige Domänennamen durchführen und/oder einen DNS-Server verwenden, der vom Angreifer kontrolliert wird. Wenn die DNS-Anfragen von dem infizierten Computer an den gewünschten DNS-Server oder -Gerät gelangen, kann der Angreifer die Informationen entweder für die spätere Verwendung protokollieren und/oder eine kleine Menge von Daten als DNS-Antwort an den angegriffenen Computer zurücksenden. Die DNS-Antwort kann ein auszuführender Befehl für den kompromittierten Computer sein. Dieser Austausch tunnelt eine kleine Datenmenge aus einem Netzwerk und setzt eine indirekte Kommunikation zwischen zwei Computern über das Internet auf.

Eine Verteidigung gegen Angriffe mit DNS-Tunnel erfordert zuerst das Erkennen des anomalen DNS-Verkehrs. Dies kann durch Überwachen der DNS-Logs oder durch direktes Monitoring des Netzwerks mit einem Tool erfolgen. Der Anfangs-DNS-Server kann auch so konfiguriert werden, dass er DNS-Lookup-Anfragen protokolliert. Diese Logs können beispielsweise überwacht werden, um Ausschau zu halten nach einer große Anzahl von DNS-Anfragen von einem Endpunkt oder einer große Zahl von DNS-Anfragen, die weitergeleitet werden mussten. Diese Analyse können Sie auch durch die Überwachung des Netzwerkverkehrs durchführen.

Organisationen können sich mit DNS-Sicherheits-Tools im Haus selbst um die Arbeit kümmern, oder sie lagern die Aufgabe an einen DNS-Provider aus. Der analysiert den DNS-Datenverkehr des Unternehmens und kann möglicherweise die an bösartigen DNS-Server gesendeten DNS-Lookups blockieren.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im November 2015 aktualisiert

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close