DNS als leichtes Ziel für Hacker – Über Angriffsarten und Sicherheitsvorkehrungen
Das Domain Name System (DNS) ist ein leichtes Ziel für Hacker. Wir erklären die unterschiedlichen Angriffsarten und wie man sich dafür schützt.
Rainer Singer, SE von Infoblox
Es ist überall vorhanden und in der Regel nicht gut abgesichert – das Domain Name System (DNS). Für Kriminelle hat es sich deshalb zu einem leichten Ziel entwickelt, um Netzwerke anzugreifen. Ein Grund dafür ist, dass DNS einer der wenigen Dienste ist, der fast überall durch die Firewall kommen darf. In den meisten Fällen geschieht dies über designierte lokale DNS-Lookup-Server. Außerdem ist DNS-Traffic in Maßen immer präsent und wird weniger streng kontrolliert als Web- oder E-Mail-Traffic. Die Mehrzahl der Netzwerkbetreiber hält zudem im Unterschied zu Web-Traffic keine genauen Aufzeichnungen für DNS-Lookups vor und verfolgt DNS-Traffic auch nicht. Am Domain Name System ist für Angreifer aber besonders die mehr oder weniger zustandslose Natur des Protokolls attraktiv, die ihnen erlaubt, ihre Identität geheim zu halten.
Die zentralen Internetdienste kommen von einer DNS-Infrastruktur. Deshalb ist der Status der verbundenen Internet Domains auch immer vom Status der DNS-Server abhängig. Wenn dieser down ist, sind es die Internet-Domains ebenfalls. Diese Tatsache ist mit einer Möglichkeit verbunden, die Malware-Autoren allmählich wahrnehmen: sie entwickeln kontinuierlich neue Malware, die über das Domain Name System mit Bot-Operators kommunizieren und Angriffe ausführen kann. Bei dem Bot-Operator handelt es sich dabei um den Rechner, der die Bots (die kleinen Computerprogramme) steuert. Eine neue Generation von Botnetzen und anderen Advanced Persistent Threats (APTs) verwenden zunehmend DNS, um Maschinen zu infizieren und für ihre Zwecke einzusetzen, sowie um gerissene Attacken auf Netzwerke auszuführen oder andere kriminelle Machenschaften zu verbergen.
DNS-basierte Attacken – zwei Typen
Einerseits handelt es sich bei diesen DNS-basierten Angriffen um Unterbrechungen von DNS-Diensten, etwa DOS/DDOS-Attacken, Cache Poisoning oder auch Man-in-the-Middle-Angriffe (MITM). Andererseits führen Angreifer auch Attacken aus, indem sie ein DNS-Unternehmen ausspionieren und die dadurch gesammelten Daten weiterverkaufen oder anders gewinnbringend nutzen. Zu dieser Gruppe gehören Botnetz-Angriffe, Domain-Phishing, APTs und Tunneling-Betrug. Beide DNS-basierte Angriffe offenbaren Gefahren, die nachfolgend näher beleuchtet werden.
Angriffe zur Unterbrechung von DNS-Diensten
Zu einer der wichtigsten Angriffsarten zählt Cache Poisoning. Hierbei schicken Angreifer manipulierte DNS-Adressen an den DNS-Resolver, die dann im DNS-Cache gespeichert werden. Im Grunde genommen ist ein DNS-Resolver ein Name-Server, der Namen auf Anfrage eines Nutzers in IP-Adressen umwandelt. Wenn ein Nutzer am Rechner also nach einer Adresse sucht, leitet der DNS-Resolver den Computer auf den manipulierten Server weiter. Der Nutzer akzeptiert so automatisch Inhalte, die von einem eigentlich nicht autorisierten Server kommen, und merkt dabei nicht, dass er infizierten Content herunterlädt.
Weitere Gefahren stellen Attacken auf das DNS-Protokoll dar. In diesem Fall senden die Angreifer manipulierte DNS-Anfragen oder -Antworten an den Ziel-DNS-Server. Auf diese Weise bringen sie Programmfehler in die Server-Software, welche unter anderem zu missgebildeten Paketen, Code-Einbindung, Pufferüberlauf, Speicherfehlern, NULL-Zeiger-Dereferenzierung oder dem Ausnutzen von spezifischen Schwächen führen. Ebenso sind Denial of Service (DOS), Cache Poisoning und das Kompromittieren des Zielservers mögliche Folgen einer Attacke.
Malware-Autoren können auch Attacken durch DNS-Umleitung (Man-in-the-Middle) durchführen. Da die DNS-Kommunikation verbindungslos über das Netzwerkprotokoll User Datagram Protocol erfolgt, können sie sich zwischen Sender und Empfänger stellen und damit den Datenverkehr kontrollieren und sogar manipulieren. Die bekanntesten Arten dieser Attacke sind DNS-Changer (Schadsoftware) oder Angriffe durch unzulässige Umleitungen. Hacktivismus, Phishing, Webseitenverunstaltung oder Diebstahl sind dabei die wesentlichen Absichten der Angreifer.
Als versteckten Kanal nutzen Angreifer das Domain Name System beim DNS Tunneling. Dabei umgehen sie traditionelle Verteidigungsmechanismen, indem sie ein- und ausgehende Daten in kleinen Stücken verschlüsseln und in die DNS-Anfragen und -Antworten einbauen. Wenn kein anderer Kommunikationsweg möglich ist, kann die Malware so vom Angreifer Befehle empfangen, diese umsetzen und ihre gestohlenen Daten unbemerkt an ihn weitergeben.
Unter Domain Phishing versteht man den Diebstahl einer seriösen Domain und deren Umleitung zu einer alternativen, von Hackern kontrollierten Domain. Dies passiert häufig bei Banken oder Reiseportalen. Mit den gestohlenen sensiblen Informationen, wie Nutzernamen, Passwörtern, Sozialversicherungsnummern, PINs und Kreditkarten, können Hacker den eigentlichen Angriff starten.
Die sogenannten DOS- und DDOS-Attacken sind im letzten Jahr größer, schneller und komplexer geworden. Es kann hier zwischen zwei Typen unterschieden werden. Bei der ersten Variante zielen die Attacken der Angreifer direkt auf die Server der DNS-Infrastruktur ab. So ist das beispielsweise bei Flood-Attacken auf verschiedene Protokolle (etwa das Internet Control Message Protocol, ICMP) der Fall, da diese sie mit Anfragen regelrecht überfluten und so ausschalten. Auch auf Anwendungsebene sind diese Flood-Attacken zu finden. Dagegen verlangen die von Botnetzen ausgelösten smurf-Attacken zunächst nach der Auflösung des Namens. Anschließend fälschen sie die Quelladresse und schicken große Mengen von DNS-Anfragen. Das hat eine hochgradige Überlastung des DNS-Servers zur Folge. Bei der zweiten Variante verwenden Angreifer den DNS-Server, um eine Attacke auszuführen. Dazu gehört zum Beispiel die Amplification. Hierbei leiten Hacker sehr große Datenströme auf den Internetanschluss eines Nutzers weiter, um ihn zu überlasten. Des Weiteren gibt es auch Reflective DDOS-Attacken, bei denen Angreifer gefälschte DNS-Anfragen nutzen und den DNS-Server dazu bringen, große, nicht angeforderte DNS-Antworten zu senden und die Zielmaschine zu attackieren. Sie schicken dabei nur kleine DNS-Anfragen an viele unterschiedliche DNS-Server, damit die Opfer diese nicht bemerken. Mit Hilfe der Verstärkung über das Domain Name System können Hacker gewaltige DDOS-Attacken auslösen.
Angriffe zur Spionage
Durch DNS Fast Fluxing, eine von Botnetzen genutzte Angriffsart, wird der Standort von speziellen Servern unkenntlich. Dadurch, dass Fast Fluxing die Gültigkeitsdauer von DNS-Einträgen verkürzt, wechseln IP-Adressen also schnell und häufig. Im Unterschied dazu verändern Hacker beim Domain Fluxing ständig die Zuteilung mehrerer vollständiger Domain-Namen. Diese werden damit zu einer einzigen IP-Adresse weitergeleitet. Ein Operator, der Command & Control-Server (C&C-Server), steuert die Bots dabei. Es gibt derzeit auch immer mehr Bots, die dynamische Algorithmen gebrauchen. Wenn der Bot-Agent versucht, die kontrollierende Server-Infrastruktur zu lokalisieren, generiert er mit diesen Algorithmen solche vollständigen Domain-Namen. Im Allgemeinen heißen diese Domain-Generation-Algorithm (DGA)-Bots.
Bei Advanced Persistent Threats (APTs) handelt es sich um Attacken, mit denen sich Angreifer Netzwerk-Zugriff verschaffen, der lange unentdeckt bleibt. Sie setzen sich aus fortgeschrittener, beharrlicher Malware zusammen, die Hacker nur entwickeln und einsetzen, um an ein bestimmtes Ziel zu gelangen. Zu dieser Schadsoftware zählen Conficker A/B/C, Tropig, Kraken, oder ganz aktuell auch TDSS/TDL4. Viele von ihnen verwenden das Domain Name System, um mit ihrem C&C-Server zu kommunizieren, der sich an einem anderen Ort befindet. Auf diese Weise können sie zusätzliche Malware-Pakete oder Anweisungen bekommen, mit denen sie Attacken durchführen.
Sicherheitsvorkehrungen anpassen
Angesichts der oben genannten Beispiele wird klar: die Möglichkeiten, die Angreifern zur Verfügung stehen, sind umfangreich. Eine einzige Technologie kann vor all diesen Angriffsarten nicht schützen. Gebraucht wird demnach eine wohldurchdachte, Ebenen-übergreifende Sicherheitsstrategie.
Auf keinen Fall dürfen bei dieser Strategie DNS-Firewalls fehlen, denn mit ihnen lassen sich in Echtzeit Gefahren feststellen und Anomalien entdecken. Zusätzlich ist das Domain Name System mit Hilfe von Firewalls in Sicherheit vor bösartigen Domains. Darüber hinaus ist es aber auch wichtig, Internetstandards einzuhalten. Domain Name Security Extensions (DNSSEC) signieren DNS-Einträge digital, um sicherzustellen, dass verdächtige Quellen keinen dieser Einträge infizieren. Sehr hilfreich sind dabei DOS/DDOS-Schutzsysteme, um auf fortgeschrittene Denial-of-Service-Attacken aufmerksam zu werden und sie einzudämmen. Dagegen bemerken Data Leakage Prevention (DLP)-Monitoring-Systeme es direkt, wenn ein Datenleck über das Domain Name System oder andere Protokolle vorhanden ist. Dezidierte APT-bezogene Analyse-Systeme erkennen nach und nach APT-Malware, die über das Domain Name System mit Kontroll-Servern kommuniziert. Mit der Zeit wird dieser Schutz also umso wirksamer.
Fazit
In der Umgehung von Schutzmechanismen hat sich das Domain Name System zu einer vielversprechenden Möglichkeit für Angreifer entwickelt, die die oben genannten Methoden gebrauchen. Die Absichten dieser Angreifer reichen dabei von Spam-Versand, Industriespionage und Hacktivismus bis hin zu Cyber-Krieg und politischen Hintergründen.
Insbesondere im vergangenen Jahr hat die Zahl der DNS-basierten Angriffe zugenommen. Herkömmliche Systeme sowie Next-Generation Firewalls werden nicht mehr ausreichen. Es ist aus diesem Grund unerlässlich für Unternehmen, eine vielschichtige Verteidigungsstrategie aufzustellen, um gegen diese modernen Gefahren und DNS-Malware anzukämpfen.
Über den Autor: Rainer Singer ist System Engineer CEUR bei Infoblox.
