Bei einem DNS-Angriff klauen böswillige Akteure einen legitimen Domänennamen und verwenden ihn, um eine fiktive Website zu erstellen und dann einen Angriff auf einen DNS-Server zu starten. DNS-Angriffe sind zwar nicht neu, aber aufgrund der explosionsartigen Entwicklung der generativen KI einfacher denn je.

Grund genug, sich einmal näher mit den typischen Arten von DNS-Angriffen zu beschäftigen und zu erklären, wie man diese abwehrt und das eigene Unternehmen schützen kann.

DNS ( Domain Name System ) wird oft als das „Telefonbuch des Internets“ bezeichnet. Kurz zusammengefasst ist es das System, das die Domänennamen von Websites in die entsprechenden IP-Adressen übersetzt. Sobald ein Benutzer einen Domänennamen eingibt, sucht ein DNS-Server nach der IP-Adresse, der der Name zugeordnet ist, und sendet eine Anfrage an den Webserver, der die Website hostet.

Arten von DNS-Angriffen

Im Folgenden werden sechs Methoden erläutert, mit denen Angreifer den Betrieb von DNS-Servern stören.

DoS- und DDoS-Angriffe

DoS-Angriffe (Denial of Service) überschwemmen Server mit fehlerhaften und nicht entschlüsselbaren Datenpaketen und verlangsamen den Netzwerkverkehr so stark, dass der Zugriff auf eine Website Minuten, wenn nicht sogar länger, dauern kann. Bei einem DoS-Angriff wird in der Regel ein Gerät verwendet, um einen bestimmten DNS-Server anzugreifen. DDoS-Angriffe beruhen auf mehreren Geräten, die Angriffe auf mehrere DNS-Server starten.

DNS-Verstärkungsangriffe

Ähnlich wie bei DDoS-Angriffen werden bei DNS- Verstärkungsangriffen von einem böswilligen Akteur innerhalb eines kurzen Zeitraums mehrere Anfragen an DNS-Server gesendet. Diese Anfragen - die so genannten Trigger-Pakete - werden weiter verstärkt, so dass die DNS-Server sie nicht mehr bewältigen können. Im Gegenzug wird eine große Menge an betrügerischen Datenpaketen an die Endbenutzer gesendet, wodurch sowohl deren Geräte als auch der anvisierte DNS-Server unbrauchbar werden. Diese Ausbrüche werden auch als Reflective-Amplification-Angriffe bezeichnet.

DNS-Tunneling

Beim DNS-Tunneling leitet der Angreifer legitime DNS-Anfragen an seinen eigenen Server weiter, der als C&C-Gerät (Command & Control) fungiert. Es wird eine bösartige Nutzlast bereitgestellt, mit der entweder der DNS-Server oder das Gerät eines gezielten Opfers infiziert werden kann.

DNS-Tunneling umfasst die folgenden Schritte:

Der Angreifer registriert einen legitimen Domänennamen.

Der Namensserver wird auf den C&C-Server des Angreifers zurückverwiesen.

Ein Opfergerät wird anvisiert, und die Malware wird darauf installiert, wobei Firewalls oder Tools zur Erkennung von Eindringlingen in das Netzwerk umgangen werden.

Vom Gerät des Opfers wird eine Anfrage an einen DNS-Server gesendet, die an den C&C-Server des Angreifers zurückgesendet wird.

Es wird ein Tunnelprotokoll eingerichtet, das eine direkte Verbindung zum Opfer herstellt und dabei den DNS-Server nutzt.

In der Regel werden nur begrenzte Angriffe zur Datenexfiltration durchgeführt, aber es kann jede Bedrohungsvariante gestartet werden.

Diese Art des Angriffs ist in der Regel aufgrund des Tunnelverfahrens schwer zu erkennen.

DNS-Hijacking

Beim DNS-Hijacking erlangt ein Angreifer die Kontrolle über einen Domänennamen, der auf eine andere Einrichtung registriert ist. Dies geschieht, wenn die Anmeldedaten der Endbenutzer bekannt sind - in der Regel durch Phishing-Angriffe - oder durch Ausnutzung einer Schwachstelle oder Lücke in der IT-Infrastruktur der betreffenden Registrierungsstelle. Von einem gekaperten DNS aus kann der Endbenutzer auf eine gefälschte Website umgeleitet und dazu verleitet werden, vertrauliche Informationen und Daten wie Kreditkarten- oder Bankkontonummern zu übermitteln.

DNS-Spoofing

DNS-Server sind mit einem Cache-Speicher ausgestattet, in dem die IP-Adressen häufig angefragter Domänen gespeichert werden. Diese Funktion ermöglicht es den Servern, schneller auf Benutzeranfragen zu reagieren, und verringert den Umfang der erforderlichen Verarbeitungsressourcen. Sie ermöglicht es den Angreifern aber auch, legitime Anfragen auf betrügerische Websites und schließlich auf ihre C&C-Server umzuleiten.

DNS Fast Flux

Beim DNS-Fast-Fluxing registrieren Angreifer mehrere IP-Adressen unter einer Domäne und wechseln schnell zwischen ihnen, so dass es für Strafverfolgungsbehörden und Sicherheitsteams in Unternehmen schwierig ist, sie zu blockieren und aufzuspüren. Jede IP-Adresse ist nur für kurze Zeit aktiv, bevor sie mit einer anderen ausgetauscht wird. Die Angreifer registrieren neue IP-Adressen nach Bedarf.