Die 5 großen DNS-Angriffe und wie man sie abwehrt

Zero Trust Network Access (ZTNA) und strenge Zugangskontrollen können Unternehmen bei der Abwehr von DNS-Angriffen helfen. [...]

(c) unsplash.com

Angriffe auf das Domain Name System (DNS), bei denen böswillige Akteure Schwachstellen im DNS-Internetprotokoll ausnutzen, sind extrem verbreitet – und kostspielig.

Die Aufgabe des DNS besteht darin, den Begriff, den Sie in ein Suchfeld eingeben (den so genannten menschenlesbaren Namen), in die entsprechende Zahlenfolge (IP-Adresse) zu übersetzen, die Ihr Gerät benötigt, um auf eine Website zuzugreifen oder eine E-Mail zu senden. Angriffe auf diese unverzichtbaren Systeme können sehr schädlich sein.

Eine IDC-Umfrage aus dem Jahr 2021 unter mehr als 1.100 Unternehmen in Nordamerika, Europa und im asiatisch-pazifischen Raum ergab, dass 87 % von ihnen bereits von DNS-Angriffen betroffen gewesen waren. Die durchschnittlichen Kosten eines jeden Angriffs beliefen sich in allen Regionen auf etwa 950.000 US-Dollar und für Unternehmen in Nordamerika auf etwa 1 Million US-Dollar.

Der Bericht stellte außerdem fest, dass Unternehmen aller Branchen im vergangenen Jahr durchschnittlich 7,6 Angriffen ausgesetzt waren.

Die COVID-bedingte Verlagerung auf standortunabhängiges Arbeiten und die Reaktion der Unternehmen, Ressourcen in die Cloud zu verlagern, um sie besser zugänglich zu machen, haben dem Bericht zufolge neue Ziele für Angreifer geschaffen.

Die Untersuchung ergab auch einen starken Anstieg des Datendiebstahls über DNS: 26 % der Unternehmen meldeten den Diebstahl sensibler Kundendaten, verglichen mit 16 % im Jahr 2020.

Hier sind die fünf häufigsten Arten von DNS-Angriffen.

DNS-Amplifikation als Auslöser von DDOS-Angriffen

Ein DNS-Amplifikationsangriff ist eine beliebte Form des Distributed Denial of Service (DDoS), bei dem öffentlich zugängliche, offene DNS-Server genutzt werden, um ein Zielsystem mit DNS-Antwortverkehr zu überlasten.

Die Haupttechnik besteht darin, dass ein Angreifer eine DNS-Namensabfrage an einen offenen DNS-Server sendet, wobei die Quelladresse als die Adresse des Ziels gefälscht wird, so die Agentur für Cybersicherheit und Infrastruktursicherheit (CISA), die die Bemühungen der USA zur Verbesserung der Widerstandsfähigkeit der physischen und Cyber-Infrastruktur des Landes leitet.

Wenn der DNS-Server die DNS-Eintragsantwort sendet, wird sie stattdessen an das Ziel gesendet. Laut CISA fordern die Angreifer in der Regel so viele Zoneninformationen wie möglich an, um den Verstärkungseffekt zu maximieren. Bei den meisten von US-CERT beobachteten Angriffen dieser Art sind die von den Angreifern gesendeten gefälschten Abfragen vom Typ „ANY“, der alle bekannten Informationen über eine DNS-Zone in einer einzigen Anfrage zurückgibt.

Da die Antwort viel größer ist als die Anfrage, kann der Angreifer den Datenverkehr auf den Systemen des Ziels erhöhen. Laut CISA kann ein Angreifer durch den Einsatz eines Botnets, das eine große Anzahl gefälschter DNS-Anfragen erzeugt, ohne großen Aufwand eine immense Menge an Datenverkehr erzeugen.

Und da es sich bei den Antworten um legitime Daten handelt, die von gültigen Servern stammen, ist es äußerst schwierig, diese Art von Angriffen zu verhindern, so die Agentur. Die häufigste Form dieses Angriffs, die das US-CERT beobachtet hat, betrifft DNS-Server, die so konfiguriert sind, dass sie eine uneingeschränkte rekursive Auflösung für jeden Client im Internet ermöglichen. Laut CISA können Angriffe aber auch autoritative Namensserver betreffen, die keine rekursive Auflösung anbieten.

DNS-Spoofing/Cache Poisoning

Beim DNS-Spoofing, auch Cache Poisoning genannt, nutzen Angreifer Schwachstellen auf DNS-Servern aus, um sie zu übernehmen. Beim Cache-Poisoning injizieren Angreifer bösartige Daten in die Cache-Systeme eines DNS-Auflösers, um zu versuchen, Benutzer auf die Websites des Angreifers umzuleiten. Die Angreifer können dann persönliche Daten stehlen oder andere Informationen abfangen.

Wenn Angreifer die Kontrolle über einen DNS-Server erlangen, können sie die Cache-Informationen verändern (dies ist DNS-Poisoning). Der Code für DNS-Cache-Poisoning findet sich häufig in URLs, die über Spam- oder Phishing-E-Mails verschickt werden. In den E-Mails wird versucht, die Benutzer auf ein Ereignis aufmerksam zu machen, das sofortige Aufmerksamkeit erfordert, und dazu muss man auf eine von den Angreifern bereitgestellte URL klicken.

DNS-Server können auf die Zwischenspeicher anderer DNS-Server zugreifen, und auf diese Weise verbreitet sich der Angriff in einem potenziell großen Maßstab. Das Hauptrisiko beim DNS-Poisoning ist der Diebstahl von Daten. Ein weiteres erhebliches Risiko: Wenn die Website eines Internet-Sicherheitsanbieters gefälscht wird, kann der Computer eines Benutzers zusätzlichen Bedrohungen wie Viren oder Trojanern ausgesetzt sein, da legitime Sicherheitsaktualisierungen nicht durchgeführt werden.

DNS-Tunneling

Ein weiterer beliebter DNS-Angriffsmodus und einer der älteren, die es immer noch gibt, ist DNS-Tunneling. Diese Angriffe nutzen das DNS-Protokoll aus, um Malware und andere Daten über ein Client-Server-Modell zu tunneln. Diese Daten-Nutzlasten können einen DNS-Server übernehmen und Angreifern die Verwaltung des Servers und seiner Anwendungen ermöglichen.

Durch das Tunneln wird eine versteckte Verbindung zwischen dem Angreifer und dem Ziel – über den DNS-Resolver – hergestellt, die eine Firewall umgehen kann. Cyber-Kriminelle können den Tunnel für böswillige Aktivitäten wie das Exfiltrieren von Daten nutzen.

Fast Flux umgeht Sicherheitsscans

Fast Flux ist eine DNS-Umgehungstechnik, bei der Angreifer Botnets nutzen, um ihre Phishing- und Malware-Aktivitäten vor Sicherheitsscans zu verbergen, indem sie die sich ständig ändernden IP-Adressen kompromittierter Hosts nutzen, die als Reverse Proxys für den Backend-Botnet-Master fungieren.

Fast Flux kann sich auch auf die Kombination aus Peer-to-Peer-Netzwerken, verteilter Steuerung, webbasiertem Lastausgleich und Proxy-Umleitung beziehen, die eingesetzt wird, um Malware-Netzwerke resistenter gegen Entdeckung zu machen.

Die Hauptidee hinter Fast Flux besteht darin, eine große Anzahl von IP-Adressen mit einem einzigen legitimen Domänennamen verbunden zu haben, wobei die IP-Adressen durch wechselnde DNS-Ressourcendatensätze häufig ein- und ausgetauscht werden. Die maßgeblichen Nameserver des schnell fließenden Domänennamens werden in den meisten Fällen von dem Internetkriminellen gehostet.

DNS-Hijacking/Umleitung

Unter DNS-Hijacking (oder DNS-Umleitung) versteht man die Umgehung der Auflösung von DNS-Anfragen. Cyber-Kriminelle tun dies, indem sie Malware einsetzen, die die TCP/IP-Konfiguration eines Systems außer Kraft setzt, um auf einen abtrünnigen DNS-Server zu verweisen, der unter der Kontrolle des Angreifers steht, oder indem sie das Verhalten eines vertrauenswürdigen DNS-Servers so verändern, dass er nicht den Internetstandards entspricht. Böswillige Akteure nutzen diese Änderungen für böswillige Zwecke wie Phishing.

Es gibt zwei Hauptvarianten von DNS-Hijacking:

  • Angreifer kompromittieren ein Konto einer Domänenregistrierungsstelle und ändern den DNS-Nameserver in einen von ihnen kontrollierten Nameserver, indem sie den Eintrag für die IP-Adresse einer Domäne so ändern, dass er stattdessen auf die Adresse des Angreifers zeigt.
  • Angreifer kompromittieren den Router eines Unternehmens und ändern den DNS-Server, der automatisch auf jedes Gerät übertragen wird, wenn sich die Benutzer im Netzwerk des Unternehmens anmelden.

Wie man DNS-Angriffe verhindern kann

Unternehmen können eine Reihe von Maßnahmen ergreifen, um das Risiko von DNS-Angriffen zu mindern. Hier sind einige Vorschläge:

Stärkere Zugangskontrollen einführen

Unternehmen müssen sicherstellen, dass sie Maßnahmen ergreifen, um besser zu kontrollieren, wer Zugang zu Netzwerken hat. Eine Möglichkeit, dies zu tun, ist der Einsatz einer Mehrfaktor- oder Zwei-Faktor-Authentifizierung, um Zugang zu einem Online-Konto oder -System zu erhalten. Dabei müssen Benutzer mehr als eine Art von Informationen angeben, z. B. ein Passwort und einen Identitätsnachweis, um Zugang zu erhalten.

Unternehmen sollten sicherstellen, dass die Multifaktor-Authentifizierung in allen Konten von Registrierstellen oder Registern aktiviert ist, dass Passwörter nicht leicht zu erraten sind und dass sie sicher gespeichert und nicht für verschiedene Dienste wiederverwendet werden.

Die CISA rät Unternehmen, die Passwörter für alle Konten auf Systemen, die Änderungen an ihren DNS-Einträgen vornehmen können, unverzüglich zu aktualisieren, einschließlich der Konten auf der vom Unternehmen verwalteten DNS-Server-Software, den Systemen, die diese Software verwalten, den Administrationspanels von DNS-Betreibern und den Konten der DNS-Registrierungsstellen.

Zero Trust anwenden

Der Zero-Trust-Ansatz für die Sicherheit gewinnt immer mehr an Bedeutung, was zum Teil auf die wachsende Unterstützung durch die US-Bundesregierung und die hybriden und Remote-Arbeitsmodelle zurückzuführen ist, die sich in vielen Unternehmen durchgesetzt haben. Zero Trust kann bei der Eindämmung von DNS-Bedrohungen eine Rolle spielen.

Das Forschungsunternehmen Garner empfiehlt Sicherheits- und Risikoverantwortlichen, zwei wichtige netzwerkbezogene Zero-Trust-Projekte zu implementieren, um Risiken zu reduzieren. Eines davon ist der Einsatz von Zero Trust Network Access (ZTNA), das Zugriffsmechanismen abstrahiert und zentralisiert, so dass Sicherheitsingenieure und -mitarbeiter dafür verantwortlich sein können.

Der Zugriff wird auf der Grundlage der Identität der Benutzer und ihrer Geräte gewährt, zusätzlich zu anderen Faktoren wie Uhrzeit und Datum, geografischer Standort, historische Nutzungsmuster und Zustand des Geräts. Das Ergebnis, so Gartner, ist eine sicherere und widerstandsfähigere Umgebung mit höherer Flexibilität und besserer Überwachung.

Das andere Projekt ist die identitätsbasierte Netzwerksegmentierung, die laut Gartner ein effektives Mittel ist, um die Fähigkeit von Angreifern einzuschränken, sich seitlich in einem Netzwerk zu bewegen, sobald sie einmal eingedrungen sind.

Die identitätsbasierte Segmentierung reduziert übermäßiges implizites Vertrauen, indem sie es Unternehmen ermöglicht, einzelne Workloads in ein „Standardverweigerungs“-Modell statt in ein „implizites Erlaubnis“-Modell zu verschieben, so das Unternehmen. Dabei kommen dynamische Regeln zum Einsatz, die die Identität von Workloads und Anwendungen bewerten, um zu entscheiden, ob der Netzwerkzugriff erlaubt werden soll.

DNS-Einträge überprüfen und verifizieren

CISA empfiehlt, dass ein Unternehmen für alle Domänen, die es besitzt und verwaltet, alle öffentlichen Domäneneinträge bei den Domänenregistrierungsstellen überprüfen sollte, um sicherzustellen, dass die zugehörigen Nameservereinträge (NS) an die vorgesehenen DNS-Server delegiert sind. Es sollte alle DNS-Einträge auf allen autoritativen und sekundären DNS-Servern überprüfen, um sicherzustellen, dass sie zum vorgesehenen Zielort aufgelöst werden.

Unternehmen sollten alle entdeckten Diskrepanzen sofort untersuchen und als potenziellen Sicherheitsvorfall behandeln. Diese Maßnahmen helfen, aktive DNS-Hijacks zu erkennen.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*