beebright - Fotolia
Ungebetene Gäste gelangen per DNS-Anfragen ins Netzwerk
Cyberangreifer können sich über DNS-Anfragen Zugang zu Unternehmensnetzwerken verschaffen. Auf diese Weise lassen sich im Verborgenen Daten abziehen oder einschleusen.
Infizierte IT-Endpunkte können ganze Unternehmensnetzwerke in Gefahr bringen: Da wird ein Smartphone angegriffen, das sich ins Netzwerk einloggt, ein kaum geschütztes IoT-Gerät gekapert, das ebenfalls munter Daten mit den Firmenservern austauscht – oder ein Mitarbeiter schleppt Schadsoftware über einen USB-Stick ein, wissentlich oder unwissentlich.
Auch das Surfen auf schädlichen Webseiten oder, fast schon klassisch, das Öffnen zweifelhafter Mail-Anhänge kann IT-Endpunkte unbemerkt zu Schlupflöchern gefährlicher Dateien machen, die in „Eigenregie“ spähen und Schaden anrichten. Oder die Mittel zum Zweck sind für weitere Formen von Cyberattacken wie Angriffe über das DNS-Protokoll (Domain Name System), etwa Data Infiltration und Data Exfiltration.
Schleichweg an Firewalls und Co. vorbei
Besonders verlockend ist für Hacker das Ausschleusen von Daten über DNS-Anfragen, da dies oft unauffällig geschieht – und sich zahlreiche Unternehmen der Gefahr gar nicht bewusst sind. In diesem Fall nimmt ein feindlicher Command-and-Control-Server Kontakt zu einem infizierten Endpunkt auf, wo Schadsoftware sensible Dateien aus dem Unternehmensnetzwerk bereits zerstückelt und verschlüsselt hat.
Die Verbindung des aggressiven Steuerungsservers mit dem infizierten Client passiert im Verborgenen: Denn die Anfrage des C&C-Servers an den entsprechenden DNS-Server auf Unternehmensseite ist in einer scheinbar normalen DNS-Kommunikation eingebettet – und schleicht sich so meist ungeprüft auch an Next Generation Firewalls (NGFW) vorbei.
Ist die Verbindung hergestellt, werden die zerkleinerten und codierten Daten-Teilchen über den DNS-Tunnel ausgeschleust und auf der anderen Seite, also jenseits von Firewall und Co., wieder zusammengesetzt. Mit dem letzten transportierten Datenpaket hat der Angreifer die gestohlene Datei dann vollständig in der Hand.
DNS-Anfragen, die eine Data Exfiltration einleiten sollen, enthalten in der Regel keine vernünftigen Anfragen: Der Name-Server reagiert auf solche Queries mit NXDomain. Es geht diesen Abfragen auch gar nicht darum, eine verwertbare Antwort über das Finden eines Hosts zu bekommen, beziehungsweise einen tatsächlichen DNS-Namen aufzulösen – sondern nur um Missbrauch und einen verborgenen Transportweg zur Daten-Exfiltration. Zur tatsächlichen Ausführung des Datenklaus wird ein Skript generiert, das bestimmte Befehle beinhaltet, etwa Dateien in einzelnen Verzeichnissen zu zerlegen, sie zu verschlüsseln und in Segmenten zu verschicken.
Verdächtige DNS-Anfragen: auffällig zufällig
Dass es aufgrund böswilliger Anfragen in der Regel zu keiner erfolgreichen DNS-Kommunikation kommt – also mit NXDomain geantwortet wird –, kann helfen, Data Exfiltration zu entdecken. Denn zeigt die NXDomain-Rückmeldung, dass die angefragte Antwort oder ein bestimmter Host nicht gefunden werden, lohnt ein Blick in den Aufbau der ursprünglichen Anfrage.
Hier finden sich oft beliebige Zeichenreihen und kaum lesbare Anteile. Das unterscheidet sie von herkömmlichen DNS-Queries, denn diese sind nicht zufällig und lassen User-Eingaben durchaus nachvollziehen. Anders als encodete Anteile, die sehr zufällig aussehen. Ist ein bestimmter Grad an Entropie in den Zeichenreihen erreicht, können sie als riskant gelten. Dann sollte eine moderne DNS-Lösung automatisiert eingreifen und ein Weiterleiten der Anfrage an den Name-Server unterbinden.
Automatisch generierte Domains sollen Reputationsfilter abhängen
Ähnlich wie Data Exfiltration – nur in umgekehrter Richtung – funktioniert Data Infiltration, also das Einschleusen von Daten in Netzwerke. Hierzu werden die Datenmengen ebenfalls in kleine Pakete zerteilt, als Teil der DNS-Anfrage in der Serverkommunikation versteckt und am Zielort wieder zusammengesetzt.
„Besonders verlockend ist für Hacker das Ausschleusen von Daten über DNS-Anfragen, da dies oft unauffällig geschieht – und sich zahlreiche Unternehmen der Gefahr gar nicht bewusst sind.“
Rainer Singer, Infoblox
Um möglichst unentdeckt zu bleiben, nutzen Hacker gerne automatisiert generierte Domänen. Diese kommen zum Beispiel zum Einsatz, wenn sich infizierte Clients immer wieder mit Botnet-Controllern im Internet verbinden. Denn durch Anzahl und Wiederholung der Verbindungen könnte der Control-Server des Botnets durchaus identifiziert werden.
Also ändern die Betreiber des Botnet-Controllers in kurzen Zeitintervallen dessen IP-Adresse mit Hilfe von Domain-Generation-Algorithmen. Finden können betroffene Clients den Server allerdings trotzdem – über das DNS. Standard DNS-Lösungen wie in Microsoft oder BIND können keine echte Transparenz. So lässt sich für Hacker effektiv verschleiern, dass immer wieder der gleiche böswillige Server kontaktiert wird.
Durch die schiere Masse der automatisch und hoch dynamisch generierten Domains erhoffen sich Hacker, Reputationsfilter weitgehend „abzuhängen“ – und schon längst wieder mit den nächsten Domains zu operieren, bis früher genutzte Adressen in den Threat-Verzeichnissen dokumentiert sind.
Gute Threat-Intelligence-Lösungen werden im optimalen Fall durch proaktive Lösungen ergänzt (Zero-Day-Prevention). Malware- oder Botnet-IP-Adressen oder -DNS-Namen lassen sich über Datenfeeds schon umgehend nach Bekanntwerden in die Bedrohungsverzeichnisse integrieren. Geht dann eine entsprechende Anfrage ein, kann geeignete Software sie sofort in Quarantäne schicken. Und ungebetene Gäste im Netzwerk bleiben außen vor.
Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!
